- Una mala configuración del software por parte del administrador y/o usuario.
- Una incorrecta programación durante el proceso de desarrollo o actualización del Software.
- Hoy en día, se deben más a: bastante documentación de usuario para configurar el Software.
- Desconocimiento de seguridad informática en la mayoría de programadores.
- Empresarios que fuerzan los ciclo de desarrollo del Software para terminar antes los productos.
- Las auditorias de seguridad de código fuente apenas se practican.
Destacamos las siguientes vulnerabilidades:
Cross Site Scripting (XSS) de forma directa e indirecta
XSS es un ataque de inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web, aplicaciones locales e incluso al propio navegador.
Sucede cuando un usuario mal intencionado envía código malicioso a la aplicación web y se coloca en forma de un hipervínculo para conducir al usuario a otro sitio web, mensajería instantánea o un correo electrónico. Así mismo, puede provocar una negación de servicio (DDos).
Directo: Consiste en invadir código HTML mediante la inclusión de etiquetas <script> y <frame> en sitios que lo permiten.
Indirecto; Funciona modificando valores que la aplicación web pasa de una página a otra, sin emplear sesiones. Sucede cuando se envía un mensaje o ruta en una URL, una cookie o en la cabecera HTTP (pudiendo extenderse al DOM del navegador).
Desbordamiento del Buffer
Se lleva a cabo cuando un programa informático excede el uso de cantidad de memoria asignado por el sistema operativo, escribiendo en el bloque de memoria contiguo. Estos fallos son utilizados por ciberdelincuentes para lograr ejecutar código arbitrario en un equipo, de manera que en muchos casos logran tomar control del equipo víctima o ejecutar un ataque de Denegación de Servicios (DoS).Inyección SQL
Es una petición de algún tipo de acción sobre una base de datos. La más habitual es la petición de un nombre de usuario y una contraseña en una página web. Dado que muchos sitios web solo supervisan la introducción de nombres de usuario y contraseñas, un hacker puede utilizar los cuadros de introducción de datos para enviar sus propias peticiones, es decir, inyectar SQL en la base de datos. De esta forma, los hackers pueden crear, leer, actualizar, modificar o eliminar los datos guardados en la base de datos back-end, normalmente para acceder a información confidencial, como los números de la seguridad social, los datos de las tarjetas de crédito u otra información financiera.
No hay comentarios:
Publicar un comentario