La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez.

Publicada porVíctor Manuel Ríos Lozano Modificado hace 8 años

Presentaciones similares

Presentación del tema: "A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez."— Transcripción de la presentación:

1 A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez

2 INTRODUCCIÓN Existen diferentes vulnerabilidades que, dependiendo de sus características, las podemos clasificar e identificar en los siguientes tipos:

3 De configuración Dependiendo de la configuración del usuario final en el sistema, un sistema puede ser más o menos vulnerable si el usuario no tiene en cuenta su seguridad. Normalmente la mayoría de usuario no conoce las vulnerabilidades, ni el sistema informático lo suficiente como para protegerlo. Por lo que las configuraciones suelen ser por defecto ya que el usuario tiene temor a estropear el sistema, pero muchos sistemas por defecto son vulnerables; otros usuarios tienden a cambiar demasiado la configuración sin saber mucho los peligros que puede conllevar, por lo que el sistema se vuelve mucho más vulnerable. Validación de entrada Este tipo de vulnerabilidad se produce cuando la entrada que procesa un sistema no es comprobada adecuadamente, vulnerabilidad que puede ser aprovechada para la entrada no autorizada de un atacante o amenaza. Salto de directorio La falta de seguridad de un servicio de red puede ser utilizada por un atacante para desplazarse por las carpetas y directorios del sistema. El atacante podrá robar información, destruir el sistema, o ejecutar programas ele ataque de forma remota, con malos fines.

4 Secuencias de comandos en sitios cruzados (XSS) Este tipo de vulnerabilidad abarca cualquier ataque que permita ejecutar código de "scripting", como VBScript o JavaScript, en el contexto de otro dominio. Estos errores se pueden encontrar en cualquier aplicación HTML, no se limita a sitios web, ya que puede haber aplicaciones locales vulnerables XSS, o incluso el navegador en sí. El problema está en que normalmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Hay dos tipos: Indirecta: consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones. Directa: consiste en localizar puntos débiles en la programación de los filtros. Permisos, privilegios y/o control de acceso Se produce cuando el mecanismo de control de acceso o asignación de permisos es defectuoso. Hay que tener en cuenta que se trata del sistema en sí y no se debe confundir con una mala gestión por parte del administrador. Fallo de autenticación Esta vulnerabilidad se produce cuando la aplicación o el sistema no es capaz de autenticar al usuario, proceso, etc. Correctamente.

5 Inyección SQL Es una vulnerabilidad en el nivel de base de datos, que se produce cuando se inserta un trozo de código SQL dentro de otro código SQL con el fin de modificar el comportamiento del código y hacer que ejecute un código malicioso en la base de datos. Con estas inyecciones de código se pueden obtener múltiples datos confidenciales, eliminar o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la base de datos. Formato de cadena Vulnerabilidad se produce a través de cadenas de formato controladas externamente. Las cadenas de formato son una descripción de la salida para especificar la localización y el tipo de salida que una función debe producir. Como por ejemplo el tipo de funciones "printf" en el lenguaje "C" que pueden conducir a provocar desbordamientos de búfer o problemas en la representación de los datos. Carácter criptográfico La generación de números aleatorios para generar secuencias criptográficas, la debilidad o distintos fallos en los algoritmos de encriptación así como defectos en su implementación estarían ubicados dentro de este tipo de vulnerabilidad.

6 Error de búfer Un búfer es una ubicación de la memoria en un ordenador u otro dispositivo informático reservada para el almacenamiento temporil de informador digital, mientras que está esperando ser procesada. El desbordamiento de búfer (buffer overflow u overrun): un búfer se desborda cuando de forma incontrolada se intentan meter en él más datos de los que caben. Ese exceso se vierte en zonas del sistema causando daños. Son defectos de programación y existen algunos lenguajes que impiden que los desbordamientos puedan ocurrir. El agotamiento de búfer (buffer underflow o underrun): es un estado que ocurre cuando un búfer usado para comunicarse entre dos dispositivos o procesos se alimenta con datos a una velocidad más baja que los datos se están leyendo en ellos. Esto requiere que la lectura del programa o del dispositivo del búfer detenga brevemente su proceso. Gestión de credenciales Este tipo de vulnerabilidad tiene que ver con la gestión de usuarios, contraseñas y los ficheros que almacenan este tipo de información. Cualquier debilidad en estos elementos es considerado como una vulnerabilidad que puede ser explotada por un atacante. Inyección de comandos en el sistema operativo Es la capacidad que tiene un usuario, que controla la entrada de comandos (bien a través de un terminal de Unix/Linux o del interfaz de comando de Windows!, para ejecutar instrucciones que puedan comprometer la integridad del sistema.

7 Errores numéricos El desbordamiento de entero (integer overflow): un desbordamiento del numero entero ocurre cuando una operación aritmética crea un valor numérico que es más grande del que se puede representar dentro del espacio de almacenaje disponible. El agotamiento de entero (integer underflow): consiste en que a un valor A se le resta un valor B, y el valor B es menor que el valor mínimo del número A, y que produce un valor que no es igual que el resultado correcto. Revelación/Filtrado de información Un filtrado o escape de información puede ser intencionado o no intencionado. En este aspecto los atacantes pueden aprovechar esta vulnerabilidad para descubrir el directorio de instalación de una aplicación, la visualización de mensajes privados, etc. Error de diseño En ocasiones los programadores bien por culpa de los entornos de trabajo o bien por su metodología de programación, cometen errores en el diseño dé las aplicaciones. Esto provoca que puedan aparecer fallos de seguridad y la consiguiente vulnerabilidad. También se puede aplicar el "error de diseño" sino hay fallos en la implementación ni en la configuración de un sistema, si no que el diseño inicial es erróneo.

8 Falsificación de peticionen sitios cruzados (CSRF) Este tipo de vulnerabilidad afecta a las aplicaciones web con una estructura de Invocación predecible. El agresor puede colocar en la página cualquier código, el cual posteriormente puede servir para la ejecución de operaciones no planificadas por el creador del sitio web, por ejemplo, capturar archivos cookies sin que el usuario se percate. El tipo de ataque CSRF más popular se basa en el uso del marcador HTML, el cual sirve para la visualización de gráficos. En vez del marcador con la URL del archivo gráfico, el agresor pone un tag que lleva a un código JavaScript que es ejecutado en el navegador de la víctima. Condición de carrera Una condición de carrera se produce cuando varios procesos tratan de acceder y manipular los mismos datos simultáneamente. Los resultados de la ejecución dependerán del orden particular en que el acceso se lleva a cabo. Una condición de carrera puede ser interesante para un atacante cuando ésta puede ser utilizada para obtener acceso al sistema. Error en agestión de recursos El sistema o software que tiene esta vulnerabilidad permite al atacante provocar un consumo excesivo en los recursos del sistema (disco, memoria y CPU). Esto puede causar que el sistema deje de responder y provocar denegaciones de servicio.

Descargar ppt "A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez."

Presentaciones similares

Internet y tecnologías web

Internet y tecnologías web
Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Servicio de correo electrónico vía web.

Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Servicio de correo electrónico vía web.
Arquitecturas de BD Modelo ANSI/SPARC

Arquitecturas de BD Modelo ANSI/SPARC
III - Gestión de memoria

III - Gestión de memoria
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Aplicaciones Cliente-Servidor

Aplicaciones Cliente-Servidor
Subsistemas De un Sistema Operativo Celeste Domínguez Romo

Subsistemas De un Sistema Operativo Celeste Domínguez Romo
Introducción al software

Introducción al software
INSTALACIÓN Y MANTENIMIENTO DE SISTEMAS OPERATIVOS

INSTALACIÓN Y MANTENIMIENTO DE SISTEMAS OPERATIVOS
BUFFER OVERFLOW Y EXPLOITS

BUFFER OVERFLOW Y EXPLOITS
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos

Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
Tema 1 – Adopción de pautas de seguridad informática

Tema 1 – Adopción de pautas de seguridad informática
ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.

ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.
Interfaces Humano-Computador. Introducción n Se refiere al medio por el cual un usuario interactúa con el computador n Involucra las instrucciones que.

Interfaces Humano-Computador. Introducción n Se refiere al medio por el cual un usuario interactúa con el computador n Involucra las instrucciones que.
Auditoría de Sistemas y Software

Auditoría de Sistemas y Software
WEB VULNERABLE DVWA Universidad de Almería

WEB VULNERABLE DVWA Universidad de Almería
EXPLOITEXPLOIT Equipo 3Equipo 3. Exploit: Es un programa o código que explota una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia.

EXPLOITEXPLOIT Equipo 3Equipo 3. Exploit: Es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia.
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

Presentaciones similares

Anuncios Google