Tienes protegido tu equipo de computo?, revisa esta nota a continuación:
Hoy en día, cualquier sitio web puede estar afectado por cibercriminales y utilizarse para atacar sus datos. A continuación, describimos cinco de los métodos de ataque más comunes que siguen siendo el flagelo de muchos sitios web. Felicitamos al Open Web Application Security Project (OWASP) por las descripciones detalladas proporcionadas en el vínculo que a...parece a continuación:
1. Inyección SQL
La inyección SQL es una técnica de infiltración de código mediante la cual se insertan declaraciones maliciosas de SQL en un campo de entrada para ejecución que hace que un servidor web devuelva información que no debería. Como consecuencia, el servidor web proporciona acceso a información que debería estar protegida, como los nombres de usuario y las contraseñas.
2. Scripts de sitios (XSS)
Los scripts de sitios constituyen el error de seguridad de aplicaciones más frecuente. Se produce cuando una aplicación toma datos no confiables y los envía a un navegador web sin validación correcta. Esto permite a los atacantes ejecutar scripts en los navegadores de las víctimas cuando visitan un sitio web y, de esa manera, pueden manipular sesiones de usuario, arrasar sitios web o redirigir al usuario a sitios maliciosos.
3. Falsificación de solicitud de sitios (CSRF)
Un ataque de CSRF roba la cookie de la sesión de una víctima y otra información de autenticación que se usa para iniciar sesión en un sitio web vulnerable. Una vez ejecutado el ataque, el atacante puede tomar el control de la sesión de la víctima, por ejemplo, en un sitio de operaciones bancarias, a fin de tomar el control completo de la cuenta. No obstante, dado que el sitio web cree que un usuario legítimo ha iniciado sesión, es muy difícil detectar cuándo este ataque resulta exitoso.
4. Uso de componentes con vulnerabilidades conocidas
Los componentes, como las bibliotecas, entornos de trabajo y otros módulos de software que presentan vulnerabilidades conocidas se han convertido en un objetivo fácil para los atacantes. No obstante, como vimos a partir de la reciente vulnerabilidad HeartBleed, puede resultar difícil lograr una codificación segura y una administración eficaz de parches, especialmente, para aplicaciones web complejas. Las aplicaciones que usan componentes con vulnerabilidades conocidas pueden debilitar las defensas de las aplicaciones y permitir una serie de posibles ataques e impactos.
5. Ataque de interposición man-in-the-middle
El ataque de interposición man-in-the-middle intercepta la comunicación entre dos sistemas. Por ejemplo, en una transacción http, el objetivo es la conexión TCP entre el cliente y el servidor. En algunas circunstancias, hemos visto sitios que transferían información confidencial sin un cifrado suficientemente seguro.
Hoy en día, cualquier sitio web puede estar afectado por cibercriminales y utilizarse para atacar sus datos. A continuación, describimos cinco de los métodos de ataque más comunes que siguen siendo el flagelo de muchos sitios web. Felicitamos al Open Web Application Security Project (OWASP) por las descripciones detalladas proporcionadas en el vínculo que a...parece a continuación:
1. Inyección SQL
La inyección SQL es una técnica de infiltración de código mediante la cual se insertan declaraciones maliciosas de SQL en un campo de entrada para ejecución que hace que un servidor web devuelva información que no debería. Como consecuencia, el servidor web proporciona acceso a información que debería estar protegida, como los nombres de usuario y las contraseñas.
2. Scripts de sitios (XSS)
Los scripts de sitios constituyen el error de seguridad de aplicaciones más frecuente. Se produce cuando una aplicación toma datos no confiables y los envía a un navegador web sin validación correcta. Esto permite a los atacantes ejecutar scripts en los navegadores de las víctimas cuando visitan un sitio web y, de esa manera, pueden manipular sesiones de usuario, arrasar sitios web o redirigir al usuario a sitios maliciosos.
3. Falsificación de solicitud de sitios (CSRF)
Un ataque de CSRF roba la cookie de la sesión de una víctima y otra información de autenticación que se usa para iniciar sesión en un sitio web vulnerable. Una vez ejecutado el ataque, el atacante puede tomar el control de la sesión de la víctima, por ejemplo, en un sitio de operaciones bancarias, a fin de tomar el control completo de la cuenta. No obstante, dado que el sitio web cree que un usuario legítimo ha iniciado sesión, es muy difícil detectar cuándo este ataque resulta exitoso.
4. Uso de componentes con vulnerabilidades conocidas
Los componentes, como las bibliotecas, entornos de trabajo y otros módulos de software que presentan vulnerabilidades conocidas se han convertido en un objetivo fácil para los atacantes. No obstante, como vimos a partir de la reciente vulnerabilidad HeartBleed, puede resultar difícil lograr una codificación segura y una administración eficaz de parches, especialmente, para aplicaciones web complejas. Las aplicaciones que usan componentes con vulnerabilidades conocidas pueden debilitar las defensas de las aplicaciones y permitir una serie de posibles ataques e impactos.
5. Ataque de interposición man-in-the-middle
El ataque de interposición man-in-the-middle intercepta la comunicación entre dos sistemas. Por ejemplo, en una transacción http, el objetivo es la conexión TCP entre el cliente y el servidor. En algunas circunstancias, hemos visto sitios que transferían información confidencial sin un cifrado suficientemente seguro.
No hay comentarios.:
Publicar un comentario