Sysops Consulting

User Tools

Site Tools

Trace:
treats:commonattacks

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

treats:commonattacks [2025/01/12 06:54] – created admintreats:commonattacks [2025/01/12 06:57] (current) – [Inyección de código] admin
Line 39: Line 39:
 Llamamos Inyección de código a la posibilidad de "inyectar" código arbitrariamente a una aplicación, fuera de las instrucciones que tiene definidas por programación y ocurre cuando es posible enviar datos inesperados a un intérprete de código. Estos problemas son muy comunes en código antiguo. Se encuentran frecuentemente en consultas SQL, LDAP, Xpath o NoSQL; comandos de sistema operativo; analizadores sintácticos de XML; cabeceras SMTP; parámetros de funciones; etc. Estos defectos son fáciles de encontrar cuando se examina el código, sin embargo son difíciles de descubrir mediante pruebas funcionales. Existen utilidades de escaneo que pueden ayudar a encontrar estos problemas. Una inyección de código puede resultar en la pérdida o corrupción de datos, falla de respuesta a acciones o denegación de acceso. Una inyección puede incluso tomar control total de un sistema. Las técnicas de inyección de código son populares en el hacking y cracking para conseguir acceder a información restringida, para escalar privilegios o para conseguir acceder a sistemas restringidos. Este tipo de ataques pueden ser usados con objetivos malintencionados para conseguir diversos fines como por ejemplo: Llamamos Inyección de código a la posibilidad de "inyectar" código arbitrariamente a una aplicación, fuera de las instrucciones que tiene definidas por programación y ocurre cuando es posible enviar datos inesperados a un intérprete de código. Estos problemas son muy comunes en código antiguo. Se encuentran frecuentemente en consultas SQL, LDAP, Xpath o NoSQL; comandos de sistema operativo; analizadores sintácticos de XML; cabeceras SMTP; parámetros de funciones; etc. Estos defectos son fáciles de encontrar cuando se examina el código, sin embargo son difíciles de descubrir mediante pruebas funcionales. Existen utilidades de escaneo que pueden ayudar a encontrar estos problemas. Una inyección de código puede resultar en la pérdida o corrupción de datos, falla de respuesta a acciones o denegación de acceso. Una inyección puede incluso tomar control total de un sistema. Las técnicas de inyección de código son populares en el hacking y cracking para conseguir acceder a información restringida, para escalar privilegios o para conseguir acceder a sistemas restringidos. Este tipo de ataques pueden ser usados con objetivos malintencionados para conseguir diversos fines como por ejemplo:
  
-    Modificar valores arbitrariamente en una base de datos mediante inyección de SQL. El impacto de esta acción puede ir desde cambios en la apariencia de una página web hasta comprometer datos sensibles. +  *Modificar valores arbitrariamente en una base de datos mediante inyección de SQL. El impacto de esta acción puede ir desde cambios en la apariencia de una página web hasta comprometer datos sensibles. 
-    Instalar malware o ejecutar código malintencionado en un servidor mediante la inyección de código de scripting (como PHP o ASP). +  *Instalar malware o ejecutar código malintencionado en un servidor mediante la inyección de código de scripting (como PHP o ASP). 
-    Aumentar los privilegios como superusuario utilizando vulnerabilidades del sistema operativo. +  *Aumentar los privilegios como superusuario utilizando vulnerabilidades del sistema operativo. 
-    Atacar a usuarios de páginas web con inyecciones de código HTML o scripts.+  *Atacar a usuarios de páginas web con inyecciones de código HTML o scripts.
  
 ===== DNS poisoning (Envenenamiento DNS) ===== ===== DNS poisoning (Envenenamiento DNS) =====
treats/commonattacks.1736675664.txt.gz · Last modified: 2025/01/12 06:54 by admin