REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN

UNIVERSITARIA CIENCIA Y TECNOLOGIA
INSTITUTO UNIVERSITARIO DE TECNOLOGÍA AGRO-INDUSTRIAL
PROGRAMA NACIONAL DE FORMACIÓN EN INFORMÁTICA

Unidad 3 Método de
Cifrado

Autores:

T.S.U: Yuleisi Guerrero

C.I.16.321.965
T.S.U: Adrian Cegarra
C.I:18.715782
P.N.F en Informática

San Juan de Colón, junio de 2016.

Un criptosistema

Es el conjunto de procedimientos que garantizan la seguridad de la

información y utilizan técnicas criptográficas.
• El término en inglés es cipher.
• El elemento fundamental de un Criptosistema es la “llave”.
• En algunas referencias a la llave se le conoce como clave.

Objetivos de la Criptografía

• Mantener la confidencialidad del mensaje

– La información contenida en el mensaje permanezca secreta.
• Garantizar la autenticidad tanto del mensaje como del par
remitente/destinatario:
– El mensaje recibido ha de ser realmente el enviado.
– El remitente y destinatario han de ser realmente quienes dicen ser y no
remitentes y/o destinatarios fraudulentos.

Clasificación seguridad criptográfica

• Seguridad incondicional (teórica).

–Sistema seguro frente a un atacante con tiempo y recursos computacionales
ilimitados.
• Seguridad computacional (práctica).
– El sistema es seguro frente a un atacante con tiempo y recursos
computacionales limitados.
• Seguridad probable.
– No se puede demostrar su integridad, pero el sistema no ha sido violado.
– Todos los demás sistemas, seguros en tanto que el enemigo carece de
medios para atacarlos.

Criptografía

Tradicionalmente se ha definido como el ámbito de la criptología el que se

ocupa de las técnicas de cifrado o codificado destinadas a alterar las
representaciones lingüísticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados. Estas técnicas se utilizan tanto en el
Arte como en la Ciencia. Por tanto, el único objetivo de la criptografía era
conseguir la confidencialidad de los mensajes. Para ello se diseñaban sistemas
de cifrado y códigos. En esos tiempos la única criptografía existente era la
llamada criptografía clásica.
Criptografía de clave secreta
Denominamos criptosistema de clave secreta (de clave privada, de clave
única o simétrico) a aquel criptosistema en el que la clave de cifrado, puede ser
calculada a partir de la de descifrado, y viceversa. En la mayoría de estos
sistemas, ambas claves coinciden, y por supuesto han de mantenerse como un
secreto entre emisor y receptor: si un atacante descubre la clave utilizada en la
comunicación, ha roto el criptosistema.
Hasta la década de los setenta, la invulnerabilidad de todos los sistemas
dependía de este mantenimiento en secreto de la clave de cifrado. Este hecho
presentaba una gran desventaja: había que enviar, aparte del criptograma, la
clave de cifrado del emisor al receptor, para que éste fuera capaz de descifrar
el mensaje. Por tanto, se incurría en los mismos peligros al enviar la clave, por
un sistema que había de ser supuestamente seguro, que al enviar el texto
plano. De todos los sistemas de clave secreta, el único que se utiliza en la
actualidad es DES (Data Encryption Standard, que veremos más adelante);
otros algoritmos de clave privada, como el cifrado Caesar o el criptosistema de
Vigenère (serán también brevemente comentados más adelante) han sido
criptoanalizados con éxito, lo cual da una idea del porqué del desuso en que
han caído estos sistemas (con la excepción de DES, que es seguramente el
algoritmo de cifra más utilizado en la actualidad).

Criptografía de clave pública

Las comunicaciones aplican en las comunicaciones públicas. En un

sistema de cifrado con clave pública, los usuarios eligen una clave aleatoria
que sólo ellos conocen (ésta es la clave privada). A partir de esta clave,
automáticamente se deduce un algoritmo (la clave pública). Los usuarios
intercambian esta clave pública mediante un canal no seguro.
Cuando un usuario desea enviar un mensaje a otro usuario, sólo debe
cifrar el mensaje que desea enviar utilizando la clave pública del receptor (que
puede encontrar, por ejemplo, en un servidor de claves como un directorio
LDAP). El receptor podrá descifrar el mensaje con su clave privada (que sólo él
conoce).

Cifrado en flujo

La transformación se aplica sobre cada carácter del mensaje original

Ejemplo: sobre cada bit del mensaje. Que son aquellos que pueden cifrar un
sólo bit de texto claro al mismo tiempo, y por tanto su cifrado se produce bit a
bit. Los cifradores de flujo son algoritmos de cifrado que pueden realizar el
cifrado incrementalmente, convirtiendo el texto en claro en texto cifrado bit a bit.
Esto se logra construyendo un generador de flujo de clave. Un flujo de clave es
una secuencia de bits de tamaño arbitrario que puede emplearse para
oscurecer los contenidos de un flujo de datos combinando el flujo de clave con
el flujo de datos mediante la función XOR. Si el flujo de clave es seguro, el flujo
de datos cifrados también lo será.
Se puede construir un generador de flujo de clave iterando una función
matemática sobre un rango de valores de entrada para producir un flujo
continuo de valores de salida. Los valores de salida se concatenan entonces
para construir bloques de texto en claro, y los bloques se cifran empleando una
clave compartida por el emisor y el receptor.

Para conservar la calidad de servicio del flujo de datos, los bloques del
flujo de clave deberían producirse con un poco de antelación sobre el momento
en que vayan a ser empleados, además el proceso que los produce no debiera
exigir demasiado esfuerzo de procesamiento como para retrasar el flujo de
datos.

La esteganografía

Es la disciplina que estudia el conjunto de técnicas cuyo fin es la

ocultación de información sensible, mensajes u objetos, dentro de otros
denominados ficheros contenedores, normalmente multimedia: imágenes
digitales, vídeos o archivos de audio, con el objetivo de que la información
pueda pasar inadvertida a terceros y sólo pueda ser recuperada por un usuario
legítimo. Las técnicas esteganográficas han ido evolucionando de manera
acorde al desarrollo tecnológico, y así por ejemplo durante la Segunda Guerra
Mundial se utilizaban los periódicos para el envío de señales ocultas mediante
la realización de marcas en ciertas letras, que aunque por si solas pasaban
inadvertidas en conjunto trasmitían una información.

Técnicas según el medio (en Texto, imágenes, audio y video).

Documentos

El uso de esteganografía en los documentos puede funcionar con sólo

añadir un espacio en blanco y las fichas a los extremos de las líneas de un
documento. Este tipo de esteganografía es extremadamente eficaz, ya que el
uso de los espacios en blanco y tabs no es visible para el ojo humano, al
menos en la mayoría de los editores de texto, y se producen de forma natural
en los documentos, por lo que en general es muy difícil que levante sospechas.

Imágenes

El método más utilizado es el LSB, puesto que para un computador un

archivo de imagen es simplemente un archivo que muestra diferentes colores e
intensidades de luz en diferentes áreas (pixels). El formato de imagen más
apropiado para ocultar información es el BMP color de 24 bit Bitmap), debido a
que es el de mayor proporción (imagen no comprimida) y normalmente es de la
más alta calidad. Eventualmente se prefiere optar por formatos BMP de 8 bits o
bien otros tales como el GIF, por ser de menor tamaño. Se debe tener en
cuenta que el transporte de imágenes grandes por Internet puede despertar
sospechas. Cuando una imagen es de alta calidad y resolución, es más fácil y
eficiente ocultar y enmascarar la información dentro de ella. Es importante
notar que si se oculta información dentro de un archivo de imagen y este es
convertido a otro formato, lo más probable es que la información oculta dentro
sea dañada y, consecuentemente, resulte irrecuperable.

En audio

Cuando se oculta información dentro de archivos de audio, por lo general

la técnica usada es low bit encoding (baja bit de codificación), que es similar a
la LSB que suele emplearse en las imágenes. El problema con el low bit
encoding es que en general es perceptible para el oído humano, por lo que es
más bien un método arriesgado que alguien lo use si están tratando de ocultar
información dentro de un archivo de audio. Spread Spectrum también sirve
para ocultar información dentro de un archivo de audio. Funciona mediante la
adición de ruidos al azar a la señal de que la información se oculta dentro de
una compañía aérea y la propagación en todo el espectro de frecuencias.

Otro método es Echo data hiding, que usa los ecos en archivos de sonido
con el fin de tratar de ocultar la información. Simplemente añadiendo extra de
sonido a un eco dentro de un archivo de audio, la información puede ser
ocultada. Lo que este método consigue mejor que otros es que puede mejorar
realmente el sonido del audio dentro de un archivo de audio.

En vídeo

En vídeo, suele utilizarse el método DCT (Discrete Cosine Transform).

DCT funciona cambiando ligeramente cada una de las imágenes en el vídeo,
sólo de manera que no sea perceptible por el ojo humano. Para ser más
precisos acerca de cómo funciona DCT, DCT altera los valores de ciertas
partes de las imágenes, por lo general las redondea. Por ejemplo, si parte de
una imagen tiene un valor de 6,667, lo aproxima hasta 7.

Esteganografía en vídeo es similar a la aplicada en las imágenes, además

de que la información está oculta en cada fotograma de vídeo. Cuando sólo
una pequeña cantidad de información que está oculta dentro del código fuente
por lo general no es perceptible a todos. Sin embargo, cuanta mayor
información se oculte, más perceptible será.
 La firma digital

Documento es el resultado de aplicar cierto algoritmo matemático,

denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo
de firma (en el que se emplea una clave privada) al resultado de la operación
anterior, generando la firma electrónica o digital. El software de firma digital
debe además efectuar varias validaciones, entre las cuales podemos
mencionar:

 Vigencia del certificado digital del firmante,

 Revocación del certificado digital del firmante,
 Inclusión de sello de tiempo.

Cómo funciona La firma digital

 Integridad de los datos

 Identificación del firmante
 No repudio

Funciones de firma digital

 La firma digital funciona mediante complejos procedimientos matemáticos que

relacionan el documento firmado con información propia del firmante. Estos
procedimientos permiten que terceras personas puedan reconocer la
identidad del firmante y asegurarse de que los contenidos no han sido
modificados.

 El firmante genera o aplica un algoritmo matemático llamado función hash, el

cual se cifra con la clave privada del firmante. El resultado es la firma digital,
que se enviará adjunta al mensaje original. De esta manera el firmante
adjuntará al documento una marca que es única para dicho documento y que
sólo él es capaz de producir.

 Para realizar la verificación del mensaje, el receptor generará la huella digital

del mensaje recibido, luego descifrará la firma digital del mensaje utilizando la
clave pública del firmante y obtendrá de esa forma la huella digital del
mensaje original; si ambas huellas digitales coinciden, significa que no hubo
alteración y que el firmante es quien dice serlo

Autorización

Es el proceso que determina (luego de su autenticación) a qué recursos

de un sistema tiene acceso una identidad
 Los métodos de autenticación

Están clasificados en función de los elementos (factores) que se usan

para validar la identidad de una persona y podrían agruparse en tres grandes
categorías, a saber:
 Aquellos que se apoyan en lo que el usuario o el receptor sabe. Por ejemplo:
Contraseñas, números de identificación, PIN (Personal Identification
Number), respuestas a preguntas, etc.
 Los fundados en las características físicas del usuario o en actos involuntarios
del mismo. Por ejemplo: Biometría (verificación de voz, de escritura, de
huellas, de patrones oculares)
 Los que se apoyan en la posesión de un objeto por el usuario. Por ejemplo:
Tarjetas de coordenadas, Tokens OTP, Token criptográficos u otra información
almacenados en una tarjeta magnética.
 En una cuarta clase se podría incluir diversas tipologías o métodos de
autenticación y firma que, aunque no pertenecen a ninguna de las citadas
arriba. Pueden utilizarse también para indicar el creador de un mensaje
electrónico (Un facsímil de una firma manuscrita o un nombre mecanografiado
en la parte inferior de un mensaje electrónico).

Tipos de autenticación

Los métodos de autenticación están en función de lo que utilizan para la

verificación y estos se dividen en tres categorías:
 Sistemas basados en algo conocido. Ejemplo, un password (Unix) o
passphrase (PGP).
 Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad, una
tarjeta inteligente (smartcard), dispositivo USB tipo epass token, Tarjeta de
coordenadas, smartcard o dongle criptográfico.
 Sistemas basados en una característica física del usuario o un acto
involuntario del mismo: Ejemplo, verificación de voz, de escritura, de
huellas, de patrones oculares.

Los certificados digitales

Representan el punto más importante en las transacciones electrónicas

seguras. Estos brindan una forma conveniente y fácil de asegurar que los
participantes en una transacción electrónica puedan confiar el uno en el otro.
Esta confianza se establece a través de un tercero llamado Autoridades
Certificadoras. Para poder explicar el funcionamiento de los certificados se
expone el siguiente ejemplo:
 Blanca quiere poder mandar mensajes a Noé y que éste sepa que ella es
ciertamente la emisora del mismo. Para ello, consigue un certificado de una
Autoridad Certificadora. Es decir, la Autoridad Certificadora va a entregar a
Blanca un Certificado digital personalizado que le va a permitir identificarse
ante terceros. Dicho certificado debe guardarlo en lugar seguro, es el símil al
Documento Nacional de Identidad.

Funciones del certificado digital

 Verificar que la clave pública permanezca en una determinada persona. En

consecuencia, procurar que una persona utilice una clave haciendo pasar por
otra persona.
 Solucionar el problema de otras personas con respecto a la función básica del
certificado y la comprobación de la identidad del firmante.
 Publicar la clave pública del emisor en un mensaje en su medio puede dar a
conocer la clave pública de una persona.
 Publicar la clave pública de la identidad de la certificación. Ya que el certificado
es firmado digitalmente por una identidad y debe ser descifrado poe el destino
del mensaje.
 Función aprobatoria. En el certificado digital consta la información relativa a la
identificación del titular de la firma digital, y sus atributos dinámicos en el
momento determinado.

Técnica de los Hacker

Tipos de hacker

Troyanos vía mensajería instantánea

Este tipo de hacker se basa en la instalación de un programa con un

troyano o "caballo de Troya", como algunos lo llaman en referencia a la
mitología griega, el cuál sirve como una herramienta remota para hacker. Tiene
la habilidad de ocultarse y su uso no está autorizado. Una vez ejecutado
controla a la computadora infectada. Puede leer, mover, borrar y ejecutar
cualquier archivo. Una particularidad del Troyano es que a la hora de ser
cargado en un programa de mensajería instantánea de forma remota, el hacker
sabrá el momento en que el usuario se conecta. Es aquí donde el intruso podrá
robar información. La transmisión de datos de la computadora infectada a la del
intruso se lleva a cabo gracias a que el programa de mensajería instantánea
abre un túnel de comunicación el cual será aprovechado por el atacante.4Cabe
señalar que los troyanos tienen una apariencia inofensiva y no propagan la
infección a otros sistemas por sí mismos y necesitan recibir instrucciones
directas de una persona para realizar su propósito.
Ejemplos: Backdoor Trojan, AIM Vision y Backdoor. Sparta.C., Poison Ivy,
NetBus, Back Orifice, Bifrost, Sub7.

Sniffeo

Es la práctica de poder capturar tramas de información que viajan sobre la

red. Toda la información que viaja sobre el Internet, y que llega a una terminal,
como lo es una computadora, es capturada y analizada por dicho dispositivo.
Sin embargo, un sniffer captura dicha información a la cual se le llama trama, y
mediante una técnica llamada "inyección de paquetes" puede llegar a modificar,
corromperla y reenviar dicha información. Con esto se logra engañar a los
servidores que proveen servicios en el Internet.

Fuerza brutal

Ataque de fuerza bruta es la práctica de ingresar al sistema a través de

"probar" todas las combinaciones posibles de contraseña en forma sistemática
y secuencial. Existen distintas variantes para este tipo de ataques, pero todos
basados en el mismo principio: agotar las combinaciones posibles hasta que se
encuentre un acceso válido al sistema.

Negación de servicio (Denial of Service-DoS)

Un ataque parcial de negación de servicio hace que el CPU consuma

muchos recursos y la computadora se ponga inestable. Otra forma de ataque
es lo que se conoce como "flood", el cual consiste en saturar al usuario con
mensajes vía mensajería instantánea al punto que la computadora deje de
responder y se pasme. De ahí que los ataques de negación de servicio en
programas de mensajería instantánea haga que el programa deje de funcionar.

Phishing

El término phishing se empezó a usar en 1996. Es una variante de fishing

pero con "ph" de phone que significa teléfono. Se refiere al engaño por medio
de correos electrónicos a los usuarios que tienen cuentas bancarias. Según
estadísticas del Centro de Quejas de Crímenes por Internet en EUA, la pérdida
debido a estafas por correo fue de 1256 millones de dólares en 2004 y de
acuerdo con el Grupo de Trabajo Anti-Phishing ha habido un incremento de 28
% en los últimos cuatro meses en las estafas por correo electrónico.

Web sites falsos (fake websites)

La técnica de crear sitios web falsos se ha vuelto muy popular hoy en día.
Se trata de subir a la red, mediante hiperenlaces falsos, interfaces idénticas a
páginas web reales. De esta forma el usuario piensa que la página es real y
empieza a llenar su información, normalmente bancaria. En la mayoría de los
casos piden al usuario poner su clave o que entre al sistema con su
información de cuenta. Después manda una alerta de que el servidor no
responde para no levantar dudas.

Hijacking y suplantación (impersonation)

Uno de los métodos más usados es el eavesdropping el cual pretende

recabar información como cuentas de usuario, claves, etc. Esto se logra por la
incursión de los troyanos en la computadora, únicamente para recabar
información de usuario. Una vez teniendo esa información se puede lograr la
suplantación y se sigue con el proceso hasta tener información de gente
cercana al usuario infectado

Ejemplos de hacker

 IP hijacking: Secuestro de una conexión TCP/IP.

 Page hijacking: Modificaciones sobre una página web.
 Reverse domain hijacking o Domain hijacking: Secuestro de un dominio.
 Sesión hijacking: Secuestro de sesión de usuario.
 Browser hijacking: Modificaciones sobre la configuración del navegador
web.
 Módem hijacking: Secuestro del módem.

Las 10 mejores técnicas de hacking

El escarabajo de heartbleed

El escarabajo de heartbleed es una grave vulnerabilidad en la biblioteca

de software criptográfico OpenSSL populares. Esta debilidad permite el robo de
la información protegida, en condiciones normales, por el cifrado SSL / TLS
utilizado para asegurar la Internet. SSL / TLS proporciona la seguridad y la
privacidad de comunicación a través de Internet para aplicaciones como web,
correo electrónico, mensajería instantánea (IM) y algunas redes privadas
virtuales (VPN).
El error heartbleed permite a cualquier usuario de Internet para leer la
memoria de los sistemas protegidos por las versiones vulnerables del software
OpenSSL. Esto compromete las claves secretas utilizadas para identificar a los
proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de
los usuarios y el contenido real. Esto permite a los atacantes vigilar las
comunicaciones, roban datos directamente de los servicios y usuarios y para
suplantar a los servicios y los usuarios.
ShellShock (error de software)

También conocida como Bashdoor, es una familia de bugs de seguridad

en la ampliamente usada Bash de Shell de Unix. El primero de estos bugs fue
divulgado el 24 de Septiembre de 2014. Varios servicios de internet tal como
algunas implementaciones de servidores web usan Bash para ciertos pedidos y
procesos, esto le permitía al atacante ejecutar comandos arbitrarios en
versiones vulnerables de Bash, de esta forma el atacante podía ganar acceso
no autorizado al sistema atacado. Trabajando en conjunto con expertos en
seguridad se obtuvo en poco tiempo un parche que solucionaría el problema.1
El error se identificó mediante el nombre de CVE-2014-6271. Fue anunciado al
público el 24 de septiembre del 2014 cuando las actualizaciones de Bash ya
incluían los parches hechos para la versión que se distribuiría en la
actualización correspondiente.

Caniche

Para trabajar con los sistemas de herencia, muchos clientes TLS

implementar un baile rebaja: en una primera intento de apretón de manos,
ofrecen la más alta versión del protocolo soportado por el cliente, y si esto
apretón de manos falla, vuelva a intentar (posiblemente varias veces) con
versiones anteriores del protocolo. A diferencia adecuada versión del protocolo
de negociación (si el cliente ofrece TLS 1.2, el servidor puede responder con,
por ejemplo, TLS 1.0), esta rebaja también puede ser provocada por fallos de
red, o por los atacantes activos.

Rosetta Flash

En esta entrada del blog presento Rosetta flash, una herramienta para
convertir cualquier archivo SWF a otro compuesto por sólo caracteres
alfanuméricos con el fin de abusar de los puntos finales JSONP, por lo que una
víctima realizo peticiones arbitrarias al dominio con el punto final vulnerables y
exfiltrate datos potencialmente sensibles, no limitado a JSONP respuestas, a
un sitio controlado por el atacante. Se trata de un CSRF sin pasar Política
mismo origen.

De alto perfil de Google dominios (accounts.google.com, www., Libros.,

Mapas., Etc.) y YouTube eran vulnerables y han sido recientemente fijo.
Twitter , LinkedIn , Yahoo , eBay , Mail.ru , Flickr , Baidu , Instagram , Tumblr y
Olark todavía tienen puntos finales JSONP vulnerables en el momento de
escribir esta entrada del blog (pero Adobe empujó una solución en la última
versión de flash , véase el párrafo mitigaciones y corrección ).

Pasarela Residencial "La desgracia de la galleta"

Más de 12 millones de dispositivos que ejecutan un servidor web

embebido llamada Rom Pager son vulnerables a un ataque simple que podría
dar a una hombre-en-el-medio posición pirata informática en el tráfico que va
hacia y desde los routers domésticos de casi todos los principales fabricantes.
En su mayoría de propiedad de las pasarelas residenciales ISP fabricados por
D-Link, Huawei, TP-Link, ZTE, Zyxel y varios otros están actualmente
expuestos. Investigadores de Check Point Software Technologies informó que
la falla que han llamado la desgracia de la galleta, a todos los proveedores y
fabricantes afectados, y la mayoría han respondido que van a impulsar un
nuevo firmware y parches en el corto plazo.

Hackear cuentas de PayPal con un solo clic (parcheado)

Hoy voy a revelar públicamente una vulnerabilidad crítica que he

encontrado durante mi investigación en PayPal, Esta vulnerabilidad me permitió
omiten por completo el sistema de prevención de CSRF implementado por
PayPal, La vulnerabilidad es un parche muy rápido y PayPal me pagó la
máxima recompensa que dan;).

Hackers eludió autenticación de dos factores de Google

Autenticación de dos factores es generalmente visto como la apuesta más

segura para proteger su cuenta de Gmail. Sin embargo, una desgarradora
historia de desarrollador independiente de Grant Blakeman, cuya Instagram fue
hackeado a través de Gmail, revela cómo ni siquiera autenticación de dos
factores puede vencer todas las amenazas de seguridad.
Al escribir sobre Ello, Blakeman describe cómo los hackers obtuvieron
acceso a su cuenta de Instagram a través de su Gmail. A pesar de que él tenía
de dos factores activada, los hackers fueron capaces de restablecer su
contraseña de Gmail a través de Instagram y tomar el control de su cuenta (que
desde entonces ha sido restaurado). Entonces, ¿cómo lo hacen? Blakeman
dice que Wired 's Mat Honan, él mismo un veterano de un corte épico, lo ayudó
por lo que sugiere que consulte con su proveedor de teléfono móvil. Resulta
que su número había sido reenviado a un número diferente, que es como los
hackers obtuvieron acceso:
El ataque comenzó realmente con mi proveedor de telefonía celular, que
de alguna manera permitió cierto nivel de acceso o la ingeniería social en mi
cuenta de Google, que a su vez permitió a los piratas informáticos para recibir
un correo electrónico de restablecimiento de contraseña de Instagram,
dándoles el control de la cuenta.

Apache Struts ClassLoader Manipulación ejecución remota de código y

blog

Actualiza Commons File Upload a la versión 1.3.1 (evita los ataques DoS)
y añade "clase" para excluir params en Parameters Interceptor evitar la
manipulación (cargador de clases)
A quién va dirigida esta: Todos Struts 2 desarrolladores y usuarios
Alcance de la vulnerabilidad: Los ataques DoS y manipulación ClassLoader
Puntuación máxima seguridad: Importante
Recomendación: Los desarrolladores deben actualizar inmediatamente a Struts
2.3.16.1
Software afectado: Puntales 2.0.0 - 2.3.16 puntales
Reportero: Peter Magnusson (peter.magnusson en omegapoint.se),
Przemysław Celej (p-Celej en o2.pl)
Identificador CVE: CVE-2014-0050 (DoS), CVE-2.014-0.094 (manipulación
cargador de clases)
El mecanismo de carga por defecto en Apache Struts 2 se basa en los
Comunes File Upload versión 1.3, que es vulnerable y permite ataques DoS.
ParametersInterceptor adicional permite el acceso al parámetro "clase" que se
correlaciona directamente con el método getClass () y permite la manipulación
cargador de clases.

El uso de Facebook Notas a cualquier sitio web DDoS

Notas Facebook permite a los usuarios incluir etiquetas <IMG>. Siempre

que se utilice una etiqueta <img>, Facebook se arrastra la imagen desde el
servidor externo y lo almacena en caché. Facebook sólo caché de la imagen
una vez, sin embargo el uso de parámetros aleatorios obtener la caché puede
ser de paso obligatorio y la función se puede abusar de causar una gran
inundación HTTP GET.

Los canales de temporización encubierto basados en HTTP Cache

encabezados

HTTP es uno de los protocolos más utilizados en Internet para las

detecciones de los canales encubiertos sobre el HTTP es una importante área
de investigación de temporización HTTP canales han recibido poca atención en
la seguridad informática El caudal principal HTTP encubierta canal de
sincronización es igual a 1,82 puntos básicos [1]. Este canal no utiliza ningún
mecanismo de HTTP y se basa en DNS-túnel del canal de temporización del
servidor-a-cliente TCP / IP [3] aplicado en carne de vacuno ha caudal igual a 10
bits / s 6.

ANEXOS Método de Cifrado