Tipos de ataque
INTRODUCCION
En definitiva las amenazas de pérdida de información en las redes son latentes, dado el nivel de seguridad que prevalece existen infinidad de ataques informáticos que han hecho vulnerable la seguridad de estas; realizando constantes ataques.
Un ataque en redes ha dado como resultado la perdida de información en los sistemas de información asícomo en las redes informáticas. En las redes informáticas, transita información que no se considera segura. Esto se debe a las constantes amenazas a la seguridad que se vive por la red.
A continuación veremos en qué consisten los siguientes tipos de ataques en las redes.
TIPOS DE ATAQUES
HTTP SPLITADO PEDIDO (WAS-24)
Debilidad: Transporte Insuficiente protección de la capa
Ladivisión de una solicitud HTTP es un ataque que permite forzar el navegador para enviar peticiones HTTP arbitrarias, infligiendo XSS y el envenenamiento por el navegador caché.
La esencia del ataque es la capacidad del atacante, una vez que la víctima (navegador) es obligada a cargar el atacante "s” maliciosos página HTML, para manipular una de las browser "s” consta de 2 funciones para enviarpeticiones HTTP en lugar de una solicitud HTTP.
Los mecanismos que han sido explotados hasta la fecha son:
El objeto XMLHttpRequest (XHR para corto) y el resumen HTTP mecanismo de autenticación. Para que este ataque funcione, el navegador debe utilizar un proxy HTTP hacia delante, o El ataque debe ser llevada a cabo contra una multitud QUE se encuentra en la misma IP (de la browser "sperspectiva) con el atacante" s de la máquina.
Desde el navegador perspectivo, se envía una solicitud HTTP, enviar la página HTML cuyo objetivo es, no romper la política de mismo origen, por lo tanto permitido.
[pic]
HTTP SPLITADO RESPUESTA (WASC-25)
En la respuesta HTTP División ataque, siempre hay 3 partes que se tratan como mínimo:
( Servidor Web, que tiene un agujero de seguridadque permite dividir respuesta HTTP.
( Objetivo - una entidad que interactúa con el servidor web (nombre de la
atacante). Normalmente se trata de un delantero servidor caché / proxy inverso), o un navegador (posiblemente con una memoria caché del navegador).
( El atacante - inicia el ataque
La esencia de la división de respuesta HTTP es la posibilidad de enviar una sola
Solicitud HTTPdel servidor web para formar una secuencia de salida, que luego se interpreta por el destino como dos respuestas HTTP en lugar de una respuesta, en el caso normal.
Con división de respuesta HTTP, es posible montar diversos tipos de ataques:
( Cross-site Scripting (XSS)
( Web Cache Envenenamiento (deformación)
( Cruz ataques de usuario (usuario único, una sola página, deformacióntemporal).
Secuestro de páginas con información específica del usuario.
ENVIO DE SOLICITUDES HTTP (WASC-26)
Debilidad: Expiración Insuficiente de la sesión
Es una técnica de ataque que los abusos de la discrepancia en
análisis de la no conformidad con RFC peticiones HTTP entre dos dispositivos de HTTP (normalmente un proxy de aplicaciones para usuario o HTTP habilitado para firewall y unservidor web back-end) para el robo de una
solicitud al segundo dispositivo "a través de" el primer dispositivo.
Esta técnica permite al atacante enviar una serie de peticiones al segundo dispositivo mientras el primer dispositivo ve un conjunto diferente de las solicitudes. A su vez, esto facilita varias explotaciones posible,
tales como envenenamiento de caché parcial, sin pasar por laprotección de firewall y XSS.
Por ejemplo enviar una serie de peticiones HTTP a un sistema
compuesto de un servidor web (por www.target.site) y un servidor proxy caché. El
objetivo del ataque es forzar al proxy caché para el contenido de la página
http://www.target.site/ atacante ~ / foo.html para la dirección URL
http://www.target.site/ víctima ~ / bar.html. El ataque consiste en enviar un...
Regístrate para leer el documento completo.