vulnerabilidades
Páginas: 20 (4751 palabras)
Publicado: 5 de septiembre de 2015
HAROLD RAFAEL MENDOZA LASPRILLA
CODIGO: 038563
VULNERABILIDAD
Diseño
Debilidad en el diseño de protocolos utilizados en las redes.
Políticas de seguridad deficiente e inexistente.
Implementación
Errores de programación.
Existencia de “puertas traseras” en los sistemas informáticos.
Descuido de los fabricantes.
Uso
Configuración inadecuada de los sistemas informáticos.
Desconocimiento y falta desensibilización de los usuarios y de los responsables de informática.
Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad del día cero
Cuando no exista una solución “conocida” para una vulnerabilidad, pero si se conoce como explotarla, entonces se le conoce como “vulnerabilidad 0 days”.
Globalmente clasificamos lasvulnerabilidades en:
Vulnerabilidades de desbordamiento de buffer.
Se produce cuando un programa no controla la cantidad de datos que se copian en buffer, de forma que si esa cantidad es superior a la capacidad del buffer los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Se puede aprovechar para ejecutar código que nos de privilegios deadministrador.
Vulnerabilidades de condición de carrera (race condition).
La condición de carrera se da principalmente cuando varios procesos acceden al mismo tiempo a un recurso compartido, por ejemplo una variable, cambiando su estado y obteniendo de esta forma un valor no esperado de la misma.
Vulnerabilidades de error de formato de cadena (format string bugs).
La principal causa de los errores de cadena deformato es aceptar sin validar la entrada de datos proporcionada por el usuario.
Es un error de programación y el lenguaje más afectado es C/C++. Un ataque puede conducir de manera inmediata a la ejecución de código arbitrario y a revelación de información.
Vulnerabilidades de Cross Site Scripting (XSS).
Abarcaban cualquier ataque que permitiera ejecutar scripts como VBScript o JavaScript, en elcontexto de otro sitio web. Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final presentar la información en un navegador web.
Un uso de esta vulnerabilidad es hacer phishing. La víctima ve en la barra de direcciones un sitio, pero realmente está en otro. La víctima introduce su contraseña y se la envía al atacante.
Vulnerabilidades de Inyección SQL.Una inyección SQL se produce cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos.
Vulnerabilidades de denegación del servicio.
La denegación de servicio provoca que un servicio o recurso sea inaccesible a los usuarioslegítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.
Vulnerabilidades de ventanas engañosas (Window Spoofing).
Las ventanas engañosas son aquellas que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que desinformación. Hay otro tipo de ventanas que, si las sigues, obtienen datos del ordenador para luego realizar un ataque.
Vulnerabilidades que afectan a todos los sistemas
1. Instalaciones por defecto de sistemas y aplicaciones
La mayoría del software, incluyendo sistemas operativos y aplicaciones, viene con scripts de instalación o programas de instalación. La meta de estos programas de instalación esdejar los sistemas operativos lo más rápido posible, con la mayor parte de funciones disponibles o habilitadas, y con la ayuda de muy poco trabajo por parte del administrador. Para lograr esta meta, los scripts típicamente instalan más componentes de los que se necesitan en realidad. La filosofía de los fabricantes es que resulta mejor habilitar funciones que no son utilizadas que hacer que...
CODIGO: 038563
VULNERABILIDAD
Diseño
Debilidad en el diseño de protocolos utilizados en las redes.
Políticas de seguridad deficiente e inexistente.
Implementación
Errores de programación.
Existencia de “puertas traseras” en los sistemas informáticos.
Descuido de los fabricantes.
Uso
Configuración inadecuada de los sistemas informáticos.
Desconocimiento y falta desensibilización de los usuarios y de los responsables de informática.
Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad del día cero
Cuando no exista una solución “conocida” para una vulnerabilidad, pero si se conoce como explotarla, entonces se le conoce como “vulnerabilidad 0 days”.
Globalmente clasificamos lasvulnerabilidades en:
Vulnerabilidades de desbordamiento de buffer.
Se produce cuando un programa no controla la cantidad de datos que se copian en buffer, de forma que si esa cantidad es superior a la capacidad del buffer los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Se puede aprovechar para ejecutar código que nos de privilegios deadministrador.
Vulnerabilidades de condición de carrera (race condition).
La condición de carrera se da principalmente cuando varios procesos acceden al mismo tiempo a un recurso compartido, por ejemplo una variable, cambiando su estado y obteniendo de esta forma un valor no esperado de la misma.
Vulnerabilidades de error de formato de cadena (format string bugs).
La principal causa de los errores de cadena deformato es aceptar sin validar la entrada de datos proporcionada por el usuario.
Es un error de programación y el lenguaje más afectado es C/C++. Un ataque puede conducir de manera inmediata a la ejecución de código arbitrario y a revelación de información.
Vulnerabilidades de Cross Site Scripting (XSS).
Abarcaban cualquier ataque que permitiera ejecutar scripts como VBScript o JavaScript, en elcontexto de otro sitio web. Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final presentar la información en un navegador web.
Un uso de esta vulnerabilidad es hacer phishing. La víctima ve en la barra de direcciones un sitio, pero realmente está en otro. La víctima introduce su contraseña y se la envía al atacante.
Vulnerabilidades de Inyección SQL.Una inyección SQL se produce cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos.
Vulnerabilidades de denegación del servicio.
La denegación de servicio provoca que un servicio o recurso sea inaccesible a los usuarioslegítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.
Vulnerabilidades de ventanas engañosas (Window Spoofing).
Las ventanas engañosas son aquellas que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que desinformación. Hay otro tipo de ventanas que, si las sigues, obtienen datos del ordenador para luego realizar un ataque.
Vulnerabilidades que afectan a todos los sistemas
1. Instalaciones por defecto de sistemas y aplicaciones
La mayoría del software, incluyendo sistemas operativos y aplicaciones, viene con scripts de instalación o programas de instalación. La meta de estos programas de instalación esdejar los sistemas operativos lo más rápido posible, con la mayor parte de funciones disponibles o habilitadas, y con la ayuda de muy poco trabajo por parte del administrador. Para lograr esta meta, los scripts típicamente instalan más componentes de los que se necesitan en realidad. La filosofía de los fabricantes es que resulta mejor habilitar funciones que no son utilizadas que hacer que...
Leer documento completo
Regístrate para leer el documento completo.