Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Se conoce como un método de ingresar a una aplicación que contenga código “sql”, valiéndose
de una vulnerabilidad, así realizar consultas a una base de datos, se puede decir también que
se conoce a la Inyección SQL como el tipo de vulnerabilidad, método de infiltración, incrustar
código SQL intruso y a la porción de este código introducido.
El funcionamiento del “Sql Injection” se muestra al inyectar código intruso (invasor), dentro de
código Sql ya programado afectando el programa y ejecutado el código deseado, siendo
comúnmente de carácter malicioso. La intrusión ocurre durante la ejecución del programa
vulnerable, en computadores de escritorio o bien en sitios Web, en éste último caso
ejecutándose en el servidor que los aloja.
Buffer Overflow
Es un error de software producido cuando se copia una cantidad de datos sobre un área que es
insuficiente para contenerlos, sobrescribiendo otras zonas de memoria, debido a un fallo de
programación. Al producirse este problema fuera de una zona protegida se produce una
excepción del acceso a memoria (indexoutofbounds, segmentation fault, entre otros),
produciendo la terminación de la aplicación donde una persona mal intencionada puede
aprovecharse de esta debilidad y apoderarse de la aplicación.
Directa (Persistente): este tipo de XSS comúnmente filtrado, y consiste en invadir código HTML
peligroso en sitios que así lo permiten; incluyendo así etiquetas como lo son <script> o
<iframe>.
Indirecta (Reflejada): este tipo de XSS consiste en modificar valores que la aplicación web
utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un
mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP.
Estafa nigeriana
Es una estafa que se da por medio de correos electrónicos donde se ilusiona a la persona a
obtener una fortuna con tal de pagar una suma por adelantado como condición.
1. Esta es la más clásica conocida como estafa nigeriana o africana, donde una autoridad
gubernamental, petrolera o bancaria le solicita a un destinatario datos personales
sobre cuentas bancarias para transferir cantidades de dinero para sacar del país
obteniendo el estafado una comisión de ese dinero.
2. Lotería: Donde se le muestra a una persona que ha ganado la lotería, tras continuos
contactos se le solicita algún tipo de depósito para algún trámite, así obtener su
premio aunque no haya participado en alguna lotería.
4. Existe una supuesta persona adinerada en alguna cárcel española o africana en varios
casos, donde esta con una identidad falsa, le pide a un intermediario (secuaz) y este
convence a la persona a timar de proporcionar una cantidad de dinero para pagar su
fianza asegurándole que recibirá una cantidad de dinero generosa por su intervención,
además le solicita más dinero posteriormente para otros tipos de gastos,
desapareciendo cuando el timo está hecho.
OSSTMM
NIST SP800-42
NIST (National Institute of Standards and Technology) Special Publication 800-42 es una línea
guía de recomendaciones en pruebas (Testing) de la seguridad de la información.
Este ataque es uno de los más poderosos ataques en la informática, donde se ataca a una
computadora, encontrando vulnerabilidades siendo estas desconocidas para las aplicaciones
informáticas, esta herramienta siendo un “exploit”, es desconocida para el público en general
y hasta para el fabricante del producto en ataque. Existen varias formas de daño como ataques
a navegadores web por medio de códigos de este tipo dado a que los navegadores son
distribuidos de forma masiva en el público y con el uso de “malwares” se pueden obtener
datos personales incluyendo cuentas bancarias y demás.
Los ataques día-cero ocurren cuando una vulnerabilidad tiene un lapso de tiempo existente
entre el tiempo en el que se publica una amenaza y el tiempo en el que se publican los parches
que los solucionan, usando virus y troyanos.