sábado, 12 de septiembre de 2009

vulnerabilidad Almacenamiento Criptográfico Inseguro

Esta vulnerabilidad sucede en sitios Web que manejan datos delicados y no usan buenas técnicas de encriptación o peor aun no utilizar ninguna.
Comúnmente se utilizan métodos como MD5 o SHA1.
Tomar en cuenta que la criptografía por sí sola no sirve de nada si no tiene como apoyo una red segura.
Publicado por en No hay comentarios:

Matriz de Precendecia Vulnerabilidades Web

La idea de realizar esta matriz de precedencia es para poner a "competir" una vulnerabilidad con otra y asi poder dar un indice a cada vulnerabilidad para luego valorar cada herramienta puesta a prueba.


Publicado por en No hay comentarios:

Calificaciones de las herramientas


Este gráfico fue generado a partir de el siguiente esquema y tomando en cuenta el resultado de la Matriz de precedencia (tambien publicado en este blog).
Se dio calificacion de:
1 - Herramienta que evidencio vulnerabilidades
0.5 - Herramienta que en su documentación estipula el encuentro de las vulnerabilidades
0 - Herramienta que no puede realizar hallazgo de las vulnerabilidades
Publicado por en No hay comentarios:

lunes, 7 de septiembre de 2009

ataque XSS Basado en DOM

Este tipo de XSS es muy similar a el tipo de XSS Reflejado con la diferencia de que en este caso el daño se provoca por medio de los scripts que están en el lado del cliente.
Publicado por en No hay comentarios:

ataque XSS Reflejado

Este tipo de XSS es el más común e investigado. Esta vulnerabilidad ocurre cuando la información que proporciona el usuario esta en constante manipulación por medio del servidor. A simple vista esto no parecería ser un problema muy grave puesto que la información maliciosa resultante se presenta en las propias páginas siendo vistas; aquí es cuando la ingeniería social juega un papel importante para los atacantes. Por medio de la ingeniería social un atacante puede convencer al usuario a seguir URL maliciosas que podrían inyectar código a la aplicación Web u obligarle al usuario a proporcionar datos confidenciales como por ejemplo números de tarjeta de crédito o pines de acceso.
Publicado por en 1 comentario:

ataque XSS Almacenado

Este tipo de XSS produce los mas potentes ataques de XSS en aplicaciones Web. Un XSS almacenado ocurre cuando la información que el usuario proporciona a la aplicación Web es primero almacenada en el servidor y luego presentada al usuario sin haber antes codificado la información en HTML. Al realizar primero la inserción de información en el servidor, ya sea una base de datos o un sistema de archivos, se puede ejecutar varios scripts de código malicioso con la retención de luego visualizar información confidencial
Publicado por en No hay comentarios:

domingo, 16 de agosto de 2009

RESUMEN DE VULNERABILIDADES PUBLICADAS EN LA OWASP TOP TEN 2007


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)