Documentos de Académico
Documentos de Profesional
Documentos de Cultura
130949
SQLI siguen siendo una de las tcnicas de sitios web ms usadas y se pueden utilizar para
obtener acceso a las tablas de bases de datos, incluyendo informacin del usuario y la
contrasea. Este tipo de ataques son particularmente comunes en los sitios de empresas y
de comercio electrnico donde los hackers esperan grandes bases de datos para luego
extraer la informacin sensible.Los ataques sqli tambin se encuentran entre los ataques
ms fciles de ejecutar, que no requiere ms que un solo PC y una pequea cantidad de
conocimientos de base de datos.
DDoS
Los ataques de denegacin de servicio funcionan cuando una computadora con una
conexin a Internet intenta inundar un servidor con paquetes. DDoS, por otro lado son
cuando muchos dispositivos, a menudo ampliamente distribuidos, en un intento de botnet
para inundar el objetivo con cientos, a menudo miles de peticiones.
Los ataques de volumen, donde el ataque intenta desbordar el ancho de banda en un sitio
especfico.
Los ataques de protocolo, donde los paquetes intentan consumir servicios o recursos de la
red.
Ataques a aplicaciones, donde las peticiones se hacen con la intencin de explotar el
servidor web, mediante la capa de aplicacin.
Fuerza Bruta
Estos son bsicamente intenta romper todas las combinaciones posibles de nombre de
usuario + contrasea en una pgina web. Los ataques de fuerza bruta buscan contraseas
dbiles para ser descifradas y tener acceso de forma facil. Los atacantes cuentan con buen
tiempo, as que el truco es hacer que tus contraseas sean lo bastante seguras y as el
atacante se cansara antes de descifrar tu contrasea. Mientras que las computadoras se
vuelven ms y ms poderosa la necesidad de contraseas ms fuertes se vuelve cada vez
ms importante. El caso mas reciente de esta vulnerabilidad, se ha visto en cuanto a la
vulneracin de cuentas de algunos famosos alojadas en iCloud.
Los atacantes utilizan Cross-site Scripting (XSS) para inyectar scripts maliciosos en lo que
seran sitios web inofensivos. Debido a que estos scripts parecen provenir de sitios web de
confianza, el navegador de los usuarios finales casi siempre ejecuta la secuencia de
comandos, la concesin de los piratas informticos el acceso a la informacin contenida en
las cookies o tokens de sesin utilizados con ese sitio. El XSS generalmente se utiliza para
obtener acceso de un usuario de la cuenta.
Autorizacin
4. Prediccin de credenciales/sesin
La prediccin de credenciales/sesin es un mtodo de secuestro o suplantacin de un
usuario del sitio web.
5. Autorizacin insuficiente
La autorizacin insuficiente se produce cuando un sitio web permite acceso a contenido
sensible o funcionalidades que deberan requerir un incremento de las restricciones en
el control de acceso.
6. Expiracin de sesin insuficiente
La expiracin de sesin insuficiente se produce cuando un sitio web permite a un
atacante reutilizar credenciales de sesin o IDs de sesin antiguos para llevar a cabo la
autorizacin.
7. Fijacin de sesin
La fijacin de sesin es una tcnica de ataque que fuerza al ID de sesin de un usuario a
adoptar un valor determinado.
Revelacin de informacin
17. Indexacin de directorio
La indexacin/listado automtico de directorio es una funcin del servidor web que lista
todos los ficheros del directorio solicitado si no se encuentra presente el fichero de inicio
habitual.
18. Fuga de informacin
La fuga de informacin se produce cuando un sitio web revela informacin sensible,
como comentarios de los desarrolladores o mensajes de error, que puede ayudar a un
atacante para explotar el sistema.
19. Path Traversal
La tcnica de ataque Path Traversal fuerza el acceso a ficheros, directorios y comandos
que potencialmente residen fuera del directorio document root del servidor web.
Ataques lgicos
21. Abuso de funcionalidad
El abuso de funcionalidad es una tcnica de ataque que usa las propias capacidades y
funcionalidades de un sitio web para consumir, estafar o evadir mecanismos de control
de acceso.
22. Denegacin de servicio
La denegacin de servicio (Denial of Service, DoS) es una tcnica de ataque cuyo
objetivo es evitar que un sitio web permita la actividad habitual de los usuarios.
23. Anti-automatizacin insuficiente
La anti-automatizacin insuficiente se produce cuando un sitio web permite a un
atacante automatizar un proceso que slo debe ser llevado a cabo manualmente.
24. Validacin de proceso insuficiente
La validacin de proceso insuficiente se produce cuando un sitio web permite a un
atacante evadir o engaar el flujo de control esperado por la aplicacin.