Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Un Criptosistema
Un Criptosistema
Unidad 3 Método de
Cifrado
Autores:
Objetivos de la Criptografía
Criptografía
Cifrado en flujo
Para conservar la calidad de servicio del flujo de datos, los bloques del
flujo de clave deberían producirse con un poco de antelación sobre el momento
en que vayan a ser empleados, además el proceso que los produce no debiera
exigir demasiado esfuerzo de procesamiento como para retrasar el flujo de
datos.
La esteganografía
Documentos
Imágenes
En audio
Otro método es Echo data hiding, que usa los ecos en archivos de sonido
con el fin de tratar de ocultar la información. Simplemente añadiendo extra de
sonido a un eco dentro de un archivo de audio, la información puede ser
ocultada. Lo que este método consigue mejor que otros es que puede mejorar
realmente el sonido del audio dentro de un archivo de audio.
En vídeo
Autorización
Tipos de autenticación
Sniffeo
Fuerza brutal
Phishing
La técnica de crear sitios web falsos se ha vuelto muy popular hoy en día.
Se trata de subir a la red, mediante hiperenlaces falsos, interfaces idénticas a
páginas web reales. De esta forma el usuario piensa que la página es real y
empieza a llenar su información, normalmente bancaria. En la mayoría de los
casos piden al usuario poner su clave o que entre al sistema con su
información de cuenta. Después manda una alerta de que el servidor no
responde para no levantar dudas.
Ejemplos de hacker
El escarabajo de heartbleed
Caniche
Rosetta Flash
En esta entrada del blog presento Rosetta flash, una herramienta para
convertir cualquier archivo SWF a otro compuesto por sólo caracteres
alfanuméricos con el fin de abusar de los puntos finales JSONP, por lo que una
víctima realizo peticiones arbitrarias al dominio con el punto final vulnerables y
exfiltrate datos potencialmente sensibles, no limitado a JSONP respuestas, a
un sitio controlado por el atacante. Se trata de un CSRF sin pasar Política
mismo origen.
Actualiza Commons File Upload a la versión 1.3.1 (evita los ataques DoS)
y añade "clase" para excluir params en Parameters Interceptor evitar la
manipulación (cargador de clases)
A quién va dirigida esta: Todos Struts 2 desarrolladores y usuarios
Alcance de la vulnerabilidad: Los ataques DoS y manipulación ClassLoader
Puntuación máxima seguridad: Importante
Recomendación: Los desarrolladores deben actualizar inmediatamente a Struts
2.3.16.1
Software afectado: Puntales 2.0.0 - 2.3.16 puntales
Reportero: Peter Magnusson (peter.magnusson en omegapoint.se),
Przemysław Celej (p-Celej en o2.pl)
Identificador CVE: CVE-2014-0050 (DoS), CVE-2.014-0.094 (manipulación
cargador de clases)
El mecanismo de carga por defecto en Apache Struts 2 se basa en los
Comunes File Upload versión 1.3, que es vulnerable y permite ataques DoS.
ParametersInterceptor adicional permite el acceso al parámetro "clase" que se
correlaciona directamente con el método getClass () y permite la manipulación
cargador de clases.