Las páginas web dado su carácter público son un foco perfecto para
los atacantes. Basados en varios aspectos técnicos del sitio, determinan
de qué forma pueden obtener el control parcial o total de este y
utilizarlo para sus propósitos. A continuación nombro sin muchos
detalles los principales tipos de ataques que pueden utilizarse para tal
fin:
- Cross Site Scripting (XSS): se basan en insertar
código o script en el sitio web de la víctima, y hacer que el visitante
al ingresar al sitio lo ejecute y cumpla el cometido para el que fue
escrito, como robo de sesiones o datos vulnerables.
- Fuerza bruta: crean procesos automatizados que
mediante prueba y error logran dar con el usuario y contraseña,
generando estos mismos al azar. Este ataque se puede dar en cualquier
página que requiera hacer un login para ingresar, aunque hoy en día son
muchas las técnicas utilizadas para evitarlo.
- Inyección de código: este tipo de ataques inyecta
código fuente como SQL, SSI, HTML al sitio web atacado, cambiando su
funcionalidad original o revelando datos que se encuentran almacenados
en las bases de datos que utilizan.
- Denegación del servicio (DOS): el atacante
aprovecha algún error en la programación del sitio web, y hace que el
servidor utilice los recursos como procesador y memoria, hasta llegar al
punto límite del mismo, y colapsar el servidor web por no dar más
recursos. En consecuencia, logra sacar el sitio web del aire.
- Fuga de información: este más que ser un ataque, es un error del administrador del sitio, el cual consiste en dejar público el registro de errores, lo que facilita al atacante ver las fallas exactas del sistema, tomar provecho de estas, y obtener el control parcial o total del sitio.
No hay comentarios:
Publicar un comentario