Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Presentado a:
Ing. JORGE OSPINA BELTRAN
Presentado por:
EDGAR IVAN ROJAS BARRERA
1. Generales
2. Específicos
La inyección de comandos es un método de Las aplicaciones pueden revelar, involuntariamente, información sobre su configuración,
ataque en el que un hacker busca su funcionamiento interno, o pueden violar la privacidad a través de una variedad de
Muchas aplicaciones web no protegen adecuadamente los datos
vulnerabilidades de seguridad en aplicaciones problemas. También pueden revelar su estado interno dependiendo de cuánto tardan en
sensibles, tales como tarjetas de crédito y credenciales a
web para explotarlas y ejecutar comandos procesar ciertas operaciones u ofreciendo diferentes respuestas a diferentes entradas,
DESCRIPCION autenticación con mecanismos de cifrado o hashing. Los atacantes
específicos (por ejemplo: modificar un como, por ejemplo, mostrando el mismo mensaje de error con distintos números de
pueden modificar o robar tales datos protegidos
formulario de inicio de sesión o inyectar código error. Las aplicaciones Web suelen revelar información sobre su estado interno a través
inadecuadamente.
malicioso, entre otros) y así poder acceder a de mensajes de error detallados o de depuración. Esta información, a menudo, puede ser
información confidencial. utilizada para lanzar, o incluso automatizar, ataques muy potentes.
Una aplicación es vulnerable a este tipo de Todos los años millones y millones de combinaciones de
ataque cuando los datos suministrados por el • Errores de configuración. usuario/contraseña, grandes cantidades de información
usuario no son válidos o filtrados por la • Errores Web financiera, médica y de otro tipo son robados de diferentes bases
MECANISMO DE
aplicación, cuando se invocan consultas • Errores de protocolo -Errores de configuración de datos y sorprendentemente muchas veces todo eso está
EXPLOTACION
dinámicas no parametrizadas, las inyecciones • Errores Web guardado en texto plano o débilmente encriptado. Los datos de
más comunes son en SQL, NoSQL, comandos de tarjetas de crédito se venden en los circuitos criminales a valores
SO, LDAP. irrisoriamente bajos.
Configuraciones incorrectas de seguridad pueden ocurrir en cualquier nivel del stack tecnológico, incluidos los
Tienen la finalidad de provocar que un servicio o recurso sea inaccesible servicios de red, la plataforma, el servidor web, el servidor de aplicaciones, la base de datos, frameworks, el código
para los usuarios legítimos. Este tipo de ataques pueden provocar la parada personalizado y máquinas virtuales preinstaladas, contenedores, Configuraciones incorrectas de seguridad pueden
DESCRIPCION de todos los servicios de una máquina, o que la máquina sólo puede dar ocurrir en cualquier nivel del stack tecnológico, incluidos los servicios de red, la plataforma, el servidor web, el
determinados servicios o que no puede dar servicio a determinados servidor de aplicaciones, la base de datos, frameworks, el código personalizado y máquinas virtuales preinstaladas,
usuarios. contenedores, etc. Los escáneres automatizados son útiles para detectar configuraciones erróneas, el uso de cuentas
o configuraciones predeterminadas, servicios innecesarios, opciones heredadas, etc.
• El manejo de errores revela a los usuarios trazas de la aplicación u otros mensajes demasiado informativos.
• Para los sistemas actualizados, las nuevas funciones de seguridad se encuentran desactivadas o no se encuentran
configuradas de forma adecuada o segura.
Los ataques DoS se pueden llevar a cabo de diferentes formas y cubren
• Las configuraciones de seguridad en el servidor de aplicaciones, en el framework de aplicación (ej., Struts, Spring,
MECANISMO DE infinidad de servicios. Existen tres tipos básicos de ataque, el consumo de
ASP.NET), bibliotecas o bases de datos no se encuentran especificados con valores seguros.
EXPLOTACION recursos limitados, la destrucción o alteración de datos, y la destrucción o
• El servidor no envía directrices o cabeceras de seguridad a los clientes o se encuentran configurados con valores
alteración física de componentes de la red.
inseguros.
• El software se encuentra desactualizado o posee vulnerabilidades
Uno de los ataque mas comunes son los de consumo de ancho de banda,
estos pueden ser:
Smurf Attack: Este ataque se basa en mandar un gran número de peticiones
echo (ICMP) a direcciones de Broadcast usando una IP de origen falsa. Esto La configuración incorrecta de una sola carga de trabajo en la nube o instancia de unidad de almacenamiento puede
EJEMPLO REAL DE provoca que la IP de origen sea inundada con multitud de respuestas. costar millones a una empresa o dificultar el cumplimiento de las normas. Las vulnerabilidades de chip de hardware,
ATAQUE ICMP Ping Flood: En este ataque se inunda a la víctima con paquetes ICMP por ejemplo, Meltdown, Spectre y Foreshadow, permiten el acceso no autorizado a espacios de memoria protegidos
Echo Request. de servicios en la nube que se alojan en el mismo servidor físico.
Fraggle Attack: Es similar al ataque Smurf pero en este caso se envía tráfico
UDP en lugar de ICMP.
Conclusiones
Después de evidenciar las diferentes vulnerabilidades a las que pueden estar expuestas las
aplicaciones que diariamente utilizamos concluimos que es imperativo el estudio y aplicación de
diferentes normas y métodos que mitiguen dichos riesgos. Hoy en día la seguridad de software
es algo muy importante y que día a día aumenta el impacto de los riesgos que se generan a partir
de las vulnerabilidades, es por esto por lo que el correcto estudio de las guías propuestas por
OWASP (Open Web Application Security Project) se vuelve fundamental, ya que no solo son
útiles para poder detectar estas vulnerabilidades, sino que fue desarrollado por una comunidad
de expertos en el área con el fin de también poder mitigarlas.
Bibliografía
Narváez, D., Romero, C., & Núñez, M. (2016). Evaluación de ataques de Denegación de servicio
DoS y DDoS, y mecanismos de protección. GEEKS DECC-REPORTS, 2(1).
Zambrano, A., Guarda, T., Valenzuela, E. V. H., & Quiña, G. N. (2019). Técnicas de mitigación
para principales vulnerabilidades de seguridad en aplicaciones web. Revista Ibérica de Sistemas
e Tecnologias de Informação, (E17), 299-308.
Ortega, J. C. G., Toledo, R. A. J., Guzmán, J. A. M., Villota, A. M. Z., & Ortiz, G. A. O. (2017).
Aspectos fundamentales en la construcción de páginas web seguras basados en
OWASP. Boletín Informativo CEI, 4(2).
Garcia, L., & Estiwar, L. (2017). Guia: OWASP Top 10-2013 (Bachelor's thesis, Universidad Piloto
de Colombia).
Díaz, V. A. (2010). OWASP Top 10 2013: actualización de los riesgos más extendidos asociados
a las aplicaciones web. Revista SIC: ciberseguridad, segu-ridad de la nformación y privacidad,
92-96.
Chicaiza, G., Ponce, L., & Velázquez Campos, G. Inyección de SQL, caso de estudio
OWASP. Sangolquí, SF.