Parámetros de Perforación y Voladura. para Plataformas
01 - Sesión 09 - Fallos de Seguridad.pptx
1. Programación Segura
Tema 09: Reconocimiento de Fallos de Seguridad
Facultad de Ingeniería y Arquitectura
Escuela Profesional de Ingeniería de Sistemas
3. 1. Vulnerabilidades en aplicaciones WEB.
Una vulnerabilidad informática es una debilidad en el software – o
en el hardware – que permite a un atacante comprometer la
integridad, disponibilidad o confidencialidad del sistema o de los
datos que procesa. Las vulnerabilidades pueden ser debidas tanto a
fallos de diseños, errores en la configuración o a procedimientos no
robustos. Las vulnerabilidades más peligrosas son las que permiten a un
atacante ejecutar código dañino en el sistema comprometido.
una amenaza es cualquier acción que explota una vulnerabilidad informática
para comprometer un sistema de información. Una amenaza puede ser tanto
interna como externa y concretarse en un ciberataque, un malware (como el
ransomware WannaCry), en un desastre físico o en negligencias en la gestión.
4. Fallas de inyección:
Cuando hablamos de ataques de inyección SQL
nos hacemos referencia a un método que se
aprovecha de errores que existen en
aplicaciones web. Son básicamente
vulnerabilidades que permiten a un posible
intruso inyectar código malicioso para llevar a
cabo sus ataques y comprometer la seguridad y
privacidad de los usuarios.
Un ataque de inyección SQL podría estar
orientado en comprometer páginas web o
bases de datos. Un pirata informático podría
manipular, robar o eliminar información y datos
que hay en esas web comprometidas o bases de
datos.
1. Vulnerabilidades en aplicaciones WEB
https://repository.unad.edu.co/bitstream/handle/10596/31471/nschalabej.pdf?sequence=1&isAllowed=y
5. Autenticación rota:
La autenticación rota es cuando usted
(Aplicación web) permite que sus usuarios
ingresen a su sitio web creando una nueva
cuenta y manejándola por razones específicas.
En la autenticación rota, cada vez que un
usuario inicia sesión en su cuenta, se crea una
identificación de sesión, y esa identificación de
sesión solo se permite para esa cuenta en
particular. Ahora bien, si la aplicación web está
diseñada de forma segura en términos de
autenticación, entonces está muy bien, pero en
caso de que no lo esté, el atacante puede usar
varias técnicas dadas.
1. Vulnerabilidades en aplicaciones WEB
Relleno de credenciales: en Relleno de credenciales, un atacante tiene una
lista estándar de contraseñas y nombres de usuario predeterminados. Con
esta lista, pueden aplicar la fuerza bruta a las cuentas y pueden iniciar
sesión en cuentas legítimas. Apenas se recomienda que los usuarios
cambien sus nombres de usuario y contraseñas predeterminados para
protegerse de tales ataques.
Contraseñas sin cifrar: el cambio de contraseñas de texto sin cifrar en
palabras codificadas a través de las cuales se puede engañar a un
atacante se denomina cifrado de contraseñas. Lo que hace un atacante
es que un atacante puede interceptar la solicitud del usuario ya que
ambos están en la misma red. Al usar la solicitud interceptada, pueden
ver claramente el envío de texto sin cifrar de las contraseñas que los
usuarios envían en el sitio web. Al utilizar esta técnica, el usuario puede
perder la autorización y la confidencialidad de su cuenta.
Tiempos de espera de sesión mal configurados: el escenario en el que un
usuario había cerrado la sesión de la cuenta y un atacante tiene la cookie
de ese usuario. Con la cookie, un atacante aún puede tener acceso a esa
cuenta.
https://es.acervolima.com/vulnerabilidad-de-autenticacion-rota/
6. Secuencias de comandos entre sitios:
Cross Site Scripting (XSS) es el proceso de adición
de código malicioso a un sitio web genuino para
recopilar información del usuario con una intención
maliciosa. Los ataques XSS son posibles a través de
vulnerabilidades de seguridad que se encuentran en
las aplicaciones web y comúnmente se explotan
mediante la inyección de un script en el lado del
cliente. Aunque normalmente se emplea JavaScript,
algunos atacantes también utilizan VBScript, ActiveX
o Flash.
1. Vulnerabilidades en aplicaciones WEB
https://pressroom.hostalia.com/contents/ui/theme/images/cross-site-scripting-wp-hostalia.pdf
7. Configuración incorrecta:
La arquitectura de una aplicación web se
sustenta sobre una gran cantidad de elementos,
los cuales presentan diversas opciones de
configuración. Servidores, frameworks, sistemas
gestores de datos, CMS, plugins, APIs… Todos
estos elementos pueden formar parte de la
arquitectura que soporta a la aplicación. Y dar
lugar a vulnerabilidades de seguridad si cuentan
con una configuración incorrecta, o con una
configuración por defecto que no cumple con los
estándares de seguridad adecuados..
1. Vulnerabilidades en aplicaciones WEB
8. Exposición de datos confidenciales:
Toda datos o información debe enviarse de forma
cifrada.
1. Vulnerabilidades en aplicaciones WEB
9. 2. Análisis de riesgos.
PROBABILIDAD DE OCURRENCIA
IMPACTO
ANÁLISIS DE RIESGOS