FACULTAD DE INGENIERA ESTADSTICA E INFORMATICA

HACKING DE SERVIDORES WEB

Yeison Eduardo Ccapa Huaquisto

130949

Ataque Por Injection

Los ataques de inyeccin, ms especficamente sqli (Structured Query Language Injection)

es una tcnica para modificar una cadena de consulta de base de datos mediante la
inyeccin de cdigo en la consulta. El SQLI explota una posible vulnerabilidad donde las
consultas se pueden ejecutar con los datos validados.

prevenir sql injection ataque sitio web

SQLI siguen siendo una de las tcnicas de sitios web ms usadas y se pueden utilizar para
obtener acceso a las tablas de bases de datos, incluyendo informacin del usuario y la
contrasea. Este tipo de ataques son particularmente comunes en los sitios de empresas y
de comercio electrnico donde los hackers esperan grandes bases de datos para luego
extraer la informacin sensible.Los ataques sqli tambin se encuentran entre los ataques
ms fciles de ejecutar, que no requiere ms que un solo PC y una pequea cantidad de
conocimientos de base de datos.

DDoS

como hacer un ataque ddosLa Denegacin de Servicio (DoS) Denegacin de Servicio

Distribuida (DDoS) son las formas ms comunes para congelar el funcionamiento de un sitio
web. Estos son los intentos de inundar un sitio con solicitudes externas, por lo que ese sitio
no podra estar disponible para los usuarios reales. Los ataques de denegacin de servicio
por lo general se dirigen a puertos especficos, rangos de IP o redes completas, pero se
pueden dirigir a cualquier dispositivo o servicio conectado.

Los ataques de denegacin de servicio funcionan cuando una computadora con una
conexin a Internet intenta inundar un servidor con paquetes. DDoS, por otro lado son
cuando muchos dispositivos, a menudo ampliamente distribuidos, en un intento de botnet
para inundar el objetivo con cientos, a menudo miles de peticiones.

Los ataques DDoS vienen en 3 variedades principales:

FACULTAD DE INGENIERA ESTADSTICA E INFORMATICA

Los ataques de volumen, donde el ataque intenta desbordar el ancho de banda en un sitio
especfico.
Los ataques de protocolo, donde los paquetes intentan consumir servicios o recursos de la
red.
Ataques a aplicaciones, donde las peticiones se hacen con la intencin de explotar el
servidor web, mediante la capa de aplicacin.
Fuerza Bruta

Estos son bsicamente intenta romper todas las combinaciones posibles de nombre de
usuario + contrasea en una pgina web. Los ataques de fuerza bruta buscan contraseas
dbiles para ser descifradas y tener acceso de forma facil. Los atacantes cuentan con buen
tiempo, as que el truco es hacer que tus contraseas sean lo bastante seguras y as el
atacante se cansara antes de descifrar tu contrasea. Mientras que las computadoras se
vuelven ms y ms poderosa la necesidad de contraseas ms fuertes se vuelve cada vez
ms importante. El caso mas reciente de esta vulnerabilidad, se ha visto en cuanto a la
vulneracin de cuentas de algunos famosos alojadas en iCloud.

Cross Site Scripting

Los atacantes utilizan Cross-site Scripting (XSS) para inyectar scripts maliciosos en lo que
seran sitios web inofensivos. Debido a que estos scripts parecen provenir de sitios web de
confianza, el navegador de los usuarios finales casi siempre ejecuta la secuencia de
comandos, la concesin de los piratas informticos el acceso a la informacin contenida en
las cookies o tokens de sesin utilizados con ese sitio. El XSS generalmente se utiliza para
obtener acceso de un usuario de la cuenta.

Tipos de ataques en aplicaciones web

Autenticacin
1. Fuerza bruta
Un ataque de fuerza bruta es un proceso automatizado de prueba y error utilizado para
adivinar un nombre de usuario, contrasea, nmero de tarjeta de crdito o clave
criptogrfica.
2. Autenticacin insuficiente
La autenticacin insuficiente ocurre cuando un sitio web permite a un atacante acceder
a contenido sensible o funcionalidades sin haberse autenticado correctamente.
3. Dbil Validacin en la recuperacin de contraseas

FACULTAD DE INGENIERA ESTADSTICA E INFORMATICA

La dbil validacin en la recuperacin de contraseas se produce cuando un sitio web

permite a un atacante obtener, modificar o recuperar, de forma ilegal, la contrasea de
otro usuario.

Autorizacin
4. Prediccin de credenciales/sesin
La prediccin de credenciales/sesin es un mtodo de secuestro o suplantacin de un
usuario del sitio web.

5. Autorizacin insuficiente
La autorizacin insuficiente se produce cuando un sitio web permite acceso a contenido
sensible o funcionalidades que deberan requerir un incremento de las restricciones en
el control de acceso.
6. Expiracin de sesin insuficiente
La expiracin de sesin insuficiente se produce cuando un sitio web permite a un
atacante reutilizar credenciales de sesin o IDs de sesin antiguos para llevar a cabo la
autorizacin.
7. Fijacin de sesin
La fijacin de sesin es una tcnica de ataque que fuerza al ID de sesin de un usuario a
adoptar un valor determinado.

Ataques en la parte cliente

8. Suplantacin de contenido
La suplantacin de contenido es una tcnica de ataque utilizada para engaar al usuario
hacindole creer que cierto contenido que aparece en un sitio web es legtimo, cuando
en realidad no lo es.
9. Cross-site scripting
Cross-site Scripting (XSS) es una tcnica de ataque que fuerza a un sitio web a repetir
cdigo ejecutable facilitado por el atacante, y que se cargar en el navegador del
usuario.
Ejecucin de comandos
10. Desbordamiento de buffer
La explotacin de un desbordamiento de buffer es un ataque que altera el flujo de una
aplicacin sobreescribiendo partes de la memoria.

FACULTAD DE INGENIERA ESTADSTICA E INFORMATICA

11. Ataques de formato de cadena

Los ataques de formato de cadena alteran el flujo de una aplicacin utilizando las
capacidades proporcionadas por las libreras de formato de cadenas para acceder a otro
espacio de memoria.
12. Inyeccin LDAP
La inyeccin LDAP es una tcnica de ataque usada para explotar sitios web que
construyen sentencias LDAP a partir de datos de entrada suministrados por el usuario.
13. Comandos de Sistema Operativo
Los comandos de sistema operativo es una tcnica de ataque utilizada para explotar
sitios web mediante la ejecucin de comandos de sistema operativo a travs de la
manipulacin de las entradas a la aplicacin.
14. Inyeccin de cdigo SQL
La inyeccin de cdigo SQL es una tcnica de ataque usada para explotar sitios web que
construyen sentencias SQL a partir de entradas facilitadas por el usuario.
15. Inyeccin de cdigo SSI
La inyeccin de cdigo SSI (Server-side Include) es una tcnica de explotacin en la
parte servidora que permite a un atacante enviar cdigo a una aplicacin web, que
posteriormente ser ejecutado localmente por el servidor web.
16. Inyeccin XPath
La inyeccin XPath es una tcnica de ataque utilizada para explotar sitios web que
construyen consultas Xpath con datos de entrada facilitados por el usuario.

Revelacin de informacin
17. Indexacin de directorio
La indexacin/listado automtico de directorio es una funcin del servidor web que lista
todos los ficheros del directorio solicitado si no se encuentra presente el fichero de inicio
habitual.
18. Fuga de informacin
La fuga de informacin se produce cuando un sitio web revela informacin sensible,
como comentarios de los desarrolladores o mensajes de error, que puede ayudar a un
atacante para explotar el sistema.
19. Path Traversal
La tcnica de ataque Path Traversal fuerza el acceso a ficheros, directorios y comandos
que potencialmente residen fuera del directorio document root del servidor web.

FACULTAD DE INGENIERA ESTADSTICA E INFORMATICA

20. Localizacin de recursos predecibles

La localizacin de recursos predecibles es una tcnica de ataque usada para descubrir
contenido y funcionalidades ocultas en el sitio web.

Ataques lgicos
21. Abuso de funcionalidad
El abuso de funcionalidad es una tcnica de ataque que usa las propias capacidades y
funcionalidades de un sitio web para consumir, estafar o evadir mecanismos de control
de acceso.
22. Denegacin de servicio
La denegacin de servicio (Denial of Service, DoS) es una tcnica de ataque cuyo
objetivo es evitar que un sitio web permita la actividad habitual de los usuarios.
23. Anti-automatizacin insuficiente
La anti-automatizacin insuficiente se produce cuando un sitio web permite a un
atacante automatizar un proceso que slo debe ser llevado a cabo manualmente.
24. Validacin de proceso insuficiente
La validacin de proceso insuficiente se produce cuando un sitio web permite a un
atacante evadir o engaar el flujo de control esperado por la aplicacin.