vulnerabilidad DB
Páginas: 6 (1285 palabras)
Publicado: 12 de febrero de 2014
Categorías de
Vulnerabilidades
Administración de Bases de Datos
Ing. Luis Reyes
Introducción a las Vulnerabilidades
Una
vulnerabilidad
o
fallo
de
seguridad, es todo aquello que provoca
que nuestros sistemas informáticos
funcionen de manera diferente para lo
que estaban pensados, afectando a la
seguridad de los mismos, pudiendo
llegar a provocar entre otras cosas la
pérdiday robo de información sensible.
Tipos de Vulnerabilidades
Existen diferentes vulnerabilidades que, dependiendo de
sus características, las podemos clasificar e identificar en
los tipos que veremos a continuación
De configuración
Validación de entrada
Salto de directorio
Seguimiento de enlaces
Inyección de comandos en
el sistema operativoSecuencias de comandos
en sitios cruzados (XSS)
Inyección SQL
Error de búfer
Formato de cadena
Errores numéricos
Revelación/Filtrado de
información
Gestión de credenciales
Permisos, privilegios y/o
control de acceso
Fallo de autenticación
Carácter criptográfico
Falsificación de petición en
sitios cruzados (CSRF)
Condición de carrera
Error en la gestiónde
recursos
Error de diseño
3
De Configuración
Si la gestión administrable por el
usuario es tal que hace que el sistema
sea vulnerable, la vulnerabilidad no es
debida al diseño del mismo si no a
cómo el usuario final configura el
sistema.
También se considera error de este
tipo cuando la configuración por
defecto del sistema es insegura, por
ejemplo una aplicaciónrecién instalada
que cuenta de base con usuarios por
defecto.
4
Validación de Entrada
Este tipo de vulnerabilidad se produce
cuando la entrada que procesa un
sistema no es comprobada
adecuadamente de forma que una
vulnerabilidad puede ser aprovechada
por una cierta secuencia de entrada.
5
Salto de Directorio
Ésta aprovecha la falta de seguridad
de un servicio dered para
desplazarse por el árbol de directorios
hasta la raíz del volumen del sistema.
El atacante podrá entonces desplazarse
a través de las carpetas de archivos del
sistema operativo para ejecutar una
utilidad de forma remota.
6
Seguimiento de Enlaces
Se producen cuando no existe una
protección lo suficientemente robusta
que evite el acceso a un directorio o
archivo desdeun enlace simbólico o
acceso directo.
7
Inyección de Comandos en el S.O.
Hablamos de este tipo de
vulnerabilidad para referirnos a la
capacidad de un usuario, que controla
la entrada de comandos (bien a través
de un terminal de Unix/Linux o del
interfaz de comando de Windows), para
ejecutar instrucciones que puedan
comprometer la integridad del
sistema.
8
Secuencias deComandos en
Sitios Cruzados (XSS)
Este tipo de vulnerabilidad abarca
cualquier ataque que permita ejecutar
código de "scripting", como VBScript o
javascript, en el contexto de otro dominio.
Estos errores se pueden encontrar en
cualquier aplicación HTML, no se limita a
sitios web, ya que puede haber
aplicaciones locales vulnerables a XSS, o
incluso el navegador en si.
Elproblema esta en que normalmente no
se validan correctamente los datos de
entrada que son usados en cierta
aplicación.
9
Inyección SQL
Es una vulnerabilidad informática en el
nivel de base de datos de una
aplicación.
El origen es el filtrado incorrecto de las
variables utilizadas en las partes del
programa con código SQL.
Una inyección de código SQL sucede
cuandose inserta un trozo de código
SQL dentro de otro código SQL con el
fin de modificar su comportamiento,
haciendo que ejecute el código
malicioso en la base de datos.
10
Error de Búfer
Un búfer es una ubicación de la memoria en una
computadora o en un instrumento digital
reservada para el almacenamiento temporal de
información digital, mientras que está esperando
ser procesada....
Vulnerabilidades
Administración de Bases de Datos
Ing. Luis Reyes
Introducción a las Vulnerabilidades
Una
vulnerabilidad
o
fallo
de
seguridad, es todo aquello que provoca
que nuestros sistemas informáticos
funcionen de manera diferente para lo
que estaban pensados, afectando a la
seguridad de los mismos, pudiendo
llegar a provocar entre otras cosas la
pérdiday robo de información sensible.
Tipos de Vulnerabilidades
Existen diferentes vulnerabilidades que, dependiendo de
sus características, las podemos clasificar e identificar en
los tipos que veremos a continuación
De configuración
Validación de entrada
Salto de directorio
Seguimiento de enlaces
Inyección de comandos en
el sistema operativoSecuencias de comandos
en sitios cruzados (XSS)
Inyección SQL
Error de búfer
Formato de cadena
Errores numéricos
Revelación/Filtrado de
información
Gestión de credenciales
Permisos, privilegios y/o
control de acceso
Fallo de autenticación
Carácter criptográfico
Falsificación de petición en
sitios cruzados (CSRF)
Condición de carrera
Error en la gestiónde
recursos
Error de diseño
3
De Configuración
Si la gestión administrable por el
usuario es tal que hace que el sistema
sea vulnerable, la vulnerabilidad no es
debida al diseño del mismo si no a
cómo el usuario final configura el
sistema.
También se considera error de este
tipo cuando la configuración por
defecto del sistema es insegura, por
ejemplo una aplicaciónrecién instalada
que cuenta de base con usuarios por
defecto.
4
Validación de Entrada
Este tipo de vulnerabilidad se produce
cuando la entrada que procesa un
sistema no es comprobada
adecuadamente de forma que una
vulnerabilidad puede ser aprovechada
por una cierta secuencia de entrada.
5
Salto de Directorio
Ésta aprovecha la falta de seguridad
de un servicio dered para
desplazarse por el árbol de directorios
hasta la raíz del volumen del sistema.
El atacante podrá entonces desplazarse
a través de las carpetas de archivos del
sistema operativo para ejecutar una
utilidad de forma remota.
6
Seguimiento de Enlaces
Se producen cuando no existe una
protección lo suficientemente robusta
que evite el acceso a un directorio o
archivo desdeun enlace simbólico o
acceso directo.
7
Inyección de Comandos en el S.O.
Hablamos de este tipo de
vulnerabilidad para referirnos a la
capacidad de un usuario, que controla
la entrada de comandos (bien a través
de un terminal de Unix/Linux o del
interfaz de comando de Windows), para
ejecutar instrucciones que puedan
comprometer la integridad del
sistema.
8
Secuencias deComandos en
Sitios Cruzados (XSS)
Este tipo de vulnerabilidad abarca
cualquier ataque que permita ejecutar
código de "scripting", como VBScript o
javascript, en el contexto de otro dominio.
Estos errores se pueden encontrar en
cualquier aplicación HTML, no se limita a
sitios web, ya que puede haber
aplicaciones locales vulnerables a XSS, o
incluso el navegador en si.
Elproblema esta en que normalmente no
se validan correctamente los datos de
entrada que son usados en cierta
aplicación.
9
Inyección SQL
Es una vulnerabilidad informática en el
nivel de base de datos de una
aplicación.
El origen es el filtrado incorrecto de las
variables utilizadas en las partes del
programa con código SQL.
Una inyección de código SQL sucede
cuandose inserta un trozo de código
SQL dentro de otro código SQL con el
fin de modificar su comportamiento,
haciendo que ejecute el código
malicioso en la base de datos.
10
Error de Búfer
Un búfer es una ubicación de la memoria en una
computadora o en un instrumento digital
reservada para el almacenamiento temporal de
información digital, mientras que está esperando
ser procesada....
Leer documento completo
Regístrate para leer el documento completo.