Scribd
Cargar
10 vistas3 páginas

Ataques Web

El documento describe varios tipos de ataques web, incluyendo Brute Force, Command Injection, CSRF, y diferentes variantes de XSS. Cada ataque se caracteriza por su método de ejecución y el impacto potencial en la seguridad de las aplicaciones. Se destacan vulnerabilidades como inyecciones SQL, carga de archivos no segura y debilidades en la implementación de CAPTCHA.

Cargado por

Luis Del Rio
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF o lee en línea desde Scribd
10 vistas3 páginas

Ataques Web

El documento describe varios tipos de ataques web, incluyendo Brute Force, Command Injection, CSRF, y diferentes variantes de XSS. Cada ataque se caracteriza por su método de ejecución y el impacto potencial en la seguridad de las aplicaciones. Se destacan vulnerabilidades como inyecciones SQL, carga de archivos no segura y debilidades en la implementación de CAPTCHA.

Cargado por

Luis Del Rio
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF o lee en línea desde Scribd
TIPOS DE ATAQUES WEB 1. Brute Force (Fuerza Bruta) Ataque en el que el atacante prueba sistem4ticamente maltiples combinaciones de usuario y contrasefia hasta encontrar una valida. Suele automatizarse y puede dirigirse a formularios de inicio de sesién. 2. Command Injection (Inyeccién de Comandos) Consiste en inyectar comandos del sistema operativo en una aplicacién vulnerable que ejecuta entradas del usuario sin la debida validacién. Esto permite al atacante ejecutar comandos arbitrarios en el servidor. 3. CSRF (Cross-Site Request Forgery) Ataque que engafia al navegador del usuario autenticado para que envie solicitudes no deseadas a una aplicacién web. Se aprovecha de la confianza que la aplicacién tiene en el navegador del usuario. 4. File Inclusion (Inclusién de Archivos) Se explota una vulnerabilidad para incluir archivos en un servidor, ya sean locales (Local File Inclusion - LFI) o remotos (Remote File Inclusion - RFI). Esto puede permitir el acceso a archivos sensibles o la ejecucién de cédigo malicioso. 5. File Upload (Carga de Archivos) Cuando una aplicacién permite subir archivos sin validacién adecuada, un atacante puede cargar scripts maliciosos (como PHP, ASPX, etc.) y ejecutarlos en el servidor. 6. Insecure CAPTCHA CAPTCHA mal implementados que pueden ser resueltos facilmente por bots o mediante fuerza bruta, lo que permite automatizar ataques como fuerza bruta o spam. 7. SQL Injection (Inyeccién SQL) Ocurre cuando un atacante inyecta comandos SQL maliciosos en campos de entrada de datos, manipulando consultas a la base de datos. Puede permitir acceso no autorizado, modificacién o eliminacién de datos. 8. Blind SQL Injection (Inyeccién SQL Ciega) Variante de SQL Injection donde la aplicacién no devuelve errores directamente, pero el atacante infiere informacién a través del comportamiento de la aplicacién (por ejemplo, tiempos de respuesta o contenido de respuesta). 9, Weak Session IDs (IDs de Sesién Débiles) Se refiere al uso de identificadores de sesién predecibles © fAcilmente adivinables. Un atacante que adivine un ID de sesién puede secuestrar la sesién de otro usuario. 10. XSS (DOM-Based) Ataque de Cross-Site Scripting en el cual el script malicioso se inyecta y ejecuta en el navegador mediante modificaciones del DOM (Document Object Model), sin interaccién directa con el servidor. 11. XSS (Reflected) El script malicioso es enviado como parte de la URL o de un formulario y se refleja inmediatamente en la respuesta del servidor. Se ejecuta cuando la victima hace clic en un enlace especialmente disefiado. 12. XSS (Stored) El atacante almacena un script malicioso en el servidor (por ejemplo, en un comentario o campo de perfil), y este se ejecuta cada vez que otro usuario accede a esa informacién. 13. CSP Bypass (Evasién de la Politica de Seguridad de Contenido) CSP (Content Security Policy) es una capa de seguridad que restringe recursos que se pueden cargar en una pagina. Algunos atacantes encuentran formas de eludir estas politicas para ejecutar scripts maliciosos. 14. JavaScript (como vector de ataque) JavaScript puede usarse maliciosamente para manipular el DOM, robar cookies, registrar teclas (keylogging), redirigir usuarios o explotar otras vulnerabilidades como xss.

También podría gustarte