Tipos de ataques en aplicaciones web

Autenticación

1. Fuerza bruta
Un ataque de fuerza bruta es un proceso automatizado de prueba y error utilizado para adivinar un nombre de usuario, contraseña, número de tarjeta de crédito o clave criptográfica.

2. Autenticación insuficiente
La autenticación insuficiente ocurre cuando un sitio web permite a un atacante acceder a contenido sensible o funcionalidades sin haberse autenticado correctamente.

3. Débil Validación en la recuperación de contraseñas
La débil validación en la recuperación de contraseñas se produce cuando un sitio web permite a un atacante obtener, modificar o recuperar, de forma ilegal, la contraseña de otro usuario.

Autorización

4. Predicción de credenciales/sesión
La predicción de credenciales/sesión es un método de secuestro o suplantación de un usuario del sitio web.

5. Autorización insuficiente
La autorización insuficiente se produce cuando un sitio web permite acceso a contenido sensible o funcionalidades que deberían requerir un incremento de las restricciones en el control de acceso.

6. Expiración de sesión insuficiente
La expiración de sesión insuficiente se produce cuando un sitio web permite a un atacante reutilizar credenciales de sesión o IDs de sesión antiguos para llevar a cabo la autorización.

7. Fijación de sesión
La fijación de sesión es una técnica de ataque que fuerza al ID de sesión de un usuario a adoptar un valor determinado.

Ataques en la parte cliente

8. Suplantación de contenido
La suplantación de contenido es una técnica de ataque utilizada para engañar al usuario haciéndole creer que cierto contenido que aparece en un sitio web es legítimo, cuando en realidad no lo es.

9. Cross-site scripting
Cross-site Scripting (XSS) es una técnica de ataque que fuerza a un sitio web a repetir código ejecutable facilitado por el atacante, y que se cargará en el navegador del usuario.

Ejecución de comandos

10. Desbordamiento de buffer
La explotación de un desbordamiento de buffer es un ataque que altera el flujo de una aplicación sobreescribiendo partes de la memoria.

11. Ataques de formato de cadena
Los ataques de formato de cadena alteran el flujo de una aplicación utilizando las capacidades proporcionadas por las librerías de formato de cadenas para acceder a otro espacio de memoria.

12. Inyección LDAP
La inyección LDAP es una técnica de ataque usada para explotar sitios web que construyen sentencias LDAP a partir de datos de entrada suministrados por el usuario.

13. Comandos de Sistema Operativo
Los comandos de sistema operativo es una técnica de ataque utilizada para explotar sitios web mediante la ejecución de comandos de sistema operativo a través de la manipulación de las entradas a la aplicación.

14. Inyección de código SQL
La inyección de código SQL es una técnica de ataque usada para explotar sitios web que construyen sentencias SQL a partir de entradas facilitadas por el usuario.

15. Inyección de código SSI
La inyección de código SSI (Server-side Include) es una técnica de explotación en la parte servidora que permite a un atacante enviar código a una aplicación web, que posteriormente será ejecutado localmente por el servidor web.

16. Inyección XPath
La inyección XPath es una técnica de ataque utilizada para explotar sitios web que construyen consultas Xpath con datos de entrada facilitados por el usuario.

Revelación de información

17. Indexación de directorio
La indexación/listado automático de directorio es una función del servidor web que lista todos los ficheros del directorio solicitado si no se encuentra presente el fichero de inicio habitual.

18. Fuga de información
La fuga de información se produce cuando un sitio web revela información sensible, como comentarios de los desarrolladores o mensajes de error, que puede ayudar a un atacante para explotar el sistema.

19. Path Traversal
La técnica de ataque Path Traversal fuerza el acceso a ficheros, directorios y comandos que potencialmente residen fuera del directorio “document root” del servidor web.

20. Localización de recursos predecibles
La localización de recursos predecibles es una técnica de ataque usada para descubrir contenido y funcionalidades ocultas en el sitio web.

Ataques lógicos

21. Abuso de funcionalidad
El abuso de funcionalidad es una técnica de ataque que usa las propias capacidades y funcionalidades de un sitio web para consumir, estafar o evadir mecanismos de control de acceso.

22. Denegación de servicio
La denegación de servicio (Denial of Service, DoS) es una técnica de ataque cuyo objetivo es evitar que un sitio web permita la actividad habitual de los usuarios.

23. Anti-automatización insuficiente
La anti-automatización insuficiente se produce cuando un sitio web permite a un atacante automatizar un proceso que sólo debe ser llevado a cabo manualmente.

24. Validación de proceso insuficiente
La validación de proceso insuficiente se produce cuando un sitio web permite a un atacante evadir o engañar el flujo de control esperado por la aplicación.

Anuncios

3 Responses to “Tipos de ataques en aplicaciones web”


  1. 1 uno que pasaba mayo 21, 2010 en 10:13 am

    faltaron los desbordamientos de monticulo… con este ataque se puede obtener la shell de un servidor HTTP, con la shell ya hasta puedes transferir un troyano y tomar todo su contro…

  2. 2 uno que pasaba mayo 21, 2010 en 10:14 am

    por cierto… el articulo quedo muy bien y tiene cantidades de ataques….

  3. 3 erick enero 28, 2011 en 8:00 pm

    muy buen aporte y muy interesante


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Blog Stats

  • 613,065 visitas

RSS

Feed
enero 2007
L M X J V S D
    Feb »
1234567
891011121314
15161718192021
22232425262728
293031  

Usuarios online:

counter

Otras URL’s

TiraEcol

Tira Ecol
BlogESfera Directorio de Blogs Hispanos - Agrega tu Blog
Google PageRank 
		Checker

A %d blogueros les gusta esto: