Tecnologia
Páginas: 8 (1804 palabras)
Publicado: 25 de julio de 2014
Exploit
Exploit (proviene del inglés to exploit, explotar, aprovechar).
Es el nombre con el que se identifica un programa informático malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad (bug) del sistema o conseguir un comportamiento no deseado del mismo. El fin de este puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente setrata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada, toma de control de un sistema de cómputo, consecución privilegios no concedidos lícitamente, consecución de ataques de denegación de servicio y emplearlo en beneficio propio o como origen de otros ataques a terceros
Los exploits pueden tomar formas en distintos tipos de software, como por ejemplo scripts,virus informáticos o gusanos informáticos,
Los exploits son utilizados tambien como "componente" de un malware ya que al forzar las vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas normalmente.
Los exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas:
Vulnerabilidades de desbordamiento de buffer
Vulnerabilidades decondición de carrera
Vulnerabilidades de error de formato de cadena
Vulnerabilidades de Cross Site Scripting XSS
Vulnerabilidades de Inyección SQL
Vulnerabilidades de Inyección de Caracteres CRLF
Vulnerabilidades de denegación del servicio
Vulnerabilidades Inyección múltiple HTML Multiple HTML Injection
Vulnerabilidades de ventanas engañosas o de ventanas Window Spoofing, otros
1.-Dedesbordamiento de buffer.
un desbordamiento de buffer (del inglés buffer overflow o buffer overrun) es un error de software que se produce cuando se copia una cantidad de datos sobre un área que no es lo suficientemente grande para contenerlos, sobrescribiendo de esta manera otras zonas de memoria. Como consecuencia, se producirá una excepción del acceso a memoria seguido de la terminación del programao, si se trata de un usuario obrando con malas intenciones, la explotación de una vulnerabilidad o agujero de seguridad.
En algunas ocasiones eso puede suponer la posibilidad de alterar el flujo del programa pudiendo hacer que éste realice operaciones no previstas. Esto es posible dado que en las arquitecturas comunes de computadoras, la memoria no tiene separación entre la dedicada a datos ya programa.
Si el programa que tiene el error en cuestión tiene privilegios especiales se convierte además en un fallo de seguridad. El código copiado especialmente preparado para obtener los privilegios del programa atacado se llama shellcode.
2.-De condición de carrera (race condition).
Una condición de carrera describe el error que se produce en programas o circuitos lógicos cuandono han sido diseñados adecuadamente para su ejecución simultánea con otros.
Un ejemplo típico es el interbloqueo que se produce cuando dos procesos están esperando a que el otro realice una acción. Como los dos están esperando, ninguno llega a realizar la acción que el otro espera.
Este tipo de errores de programación pueden ser aprovechados por exploits locales para vulnerar los sistemas.3.- De error de formato de cadena (format string bugs).
4.-De Cross Site Scripting (XSS).
XSS es un ataque basado en explotar vulnerabilidades del sistema de validación de HTML incrustado. Su nombre original "Cross Site Scripting", y renombrado XSS para que no sea confundido con las hojas de estilo en cascada (CSS), originalmente abarcaba cualquier ataque que permitiera ejecutar códigode "scripting", como VBScript o javascript, en el contexto de otro dominio.
5.- De Inyección SQL.
Inyección SQL es una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de...
Exploit (proviene del inglés to exploit, explotar, aprovechar).
Es el nombre con el que se identifica un programa informático malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad (bug) del sistema o conseguir un comportamiento no deseado del mismo. El fin de este puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente setrata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada, toma de control de un sistema de cómputo, consecución privilegios no concedidos lícitamente, consecución de ataques de denegación de servicio y emplearlo en beneficio propio o como origen de otros ataques a terceros
Los exploits pueden tomar formas en distintos tipos de software, como por ejemplo scripts,virus informáticos o gusanos informáticos,
Los exploits son utilizados tambien como "componente" de un malware ya que al forzar las vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas normalmente.
Los exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas:
Vulnerabilidades de desbordamiento de buffer
Vulnerabilidades decondición de carrera
Vulnerabilidades de error de formato de cadena
Vulnerabilidades de Cross Site Scripting XSS
Vulnerabilidades de Inyección SQL
Vulnerabilidades de Inyección de Caracteres CRLF
Vulnerabilidades de denegación del servicio
Vulnerabilidades Inyección múltiple HTML Multiple HTML Injection
Vulnerabilidades de ventanas engañosas o de ventanas Window Spoofing, otros
1.-Dedesbordamiento de buffer.
un desbordamiento de buffer (del inglés buffer overflow o buffer overrun) es un error de software que se produce cuando se copia una cantidad de datos sobre un área que no es lo suficientemente grande para contenerlos, sobrescribiendo de esta manera otras zonas de memoria. Como consecuencia, se producirá una excepción del acceso a memoria seguido de la terminación del programao, si se trata de un usuario obrando con malas intenciones, la explotación de una vulnerabilidad o agujero de seguridad.
En algunas ocasiones eso puede suponer la posibilidad de alterar el flujo del programa pudiendo hacer que éste realice operaciones no previstas. Esto es posible dado que en las arquitecturas comunes de computadoras, la memoria no tiene separación entre la dedicada a datos ya programa.
Si el programa que tiene el error en cuestión tiene privilegios especiales se convierte además en un fallo de seguridad. El código copiado especialmente preparado para obtener los privilegios del programa atacado se llama shellcode.
2.-De condición de carrera (race condition).
Una condición de carrera describe el error que se produce en programas o circuitos lógicos cuandono han sido diseñados adecuadamente para su ejecución simultánea con otros.
Un ejemplo típico es el interbloqueo que se produce cuando dos procesos están esperando a que el otro realice una acción. Como los dos están esperando, ninguno llega a realizar la acción que el otro espera.
Este tipo de errores de programación pueden ser aprovechados por exploits locales para vulnerar los sistemas.3.- De error de formato de cadena (format string bugs).
4.-De Cross Site Scripting (XSS).
XSS es un ataque basado en explotar vulnerabilidades del sistema de validación de HTML incrustado. Su nombre original "Cross Site Scripting", y renombrado XSS para que no sea confundido con las hojas de estilo en cascada (CSS), originalmente abarcaba cualquier ataque que permitiera ejecutar códigode "scripting", como VBScript o javascript, en el contexto de otro dominio.
5.- De Inyección SQL.
Inyección SQL es una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de...
Leer documento completo
Regístrate para leer el documento completo.