Blog de Ciberseguridad

Tipos de ataque que puede sufrir una web

Dic 10, 2016

En este artículo os queremos redactar unos cuantos tipos de ataques que puede recibir una web y que la mejor manera de evitarlos es con un ataque simulado llamado pentest (test de penetración) que es una auditoria de seguridad de la web.

  • Buscar el panel de admin y conseguir password, normalmente los paneles de control siempre están en el mismo sitio.
  • Vigilar la publicación en el fichero robots.txt
  • Formularios de contacto, sql injection para conseguir mostrar información
  • Ataque a logins, de diversas maneras, como fuerza bruta
  • Http, esnifar la información que no viene cifrada y con ella los passwords
  • Foros, sql injection para obtener información de las BBDD
  • Cookies, copiarlas y reutilizarlas
  • Sistemas de recuperación de contraseñas, suplantar identidad también
  • Predicción de credenciales de sesión, suplantación de identidad
  • Expiración de sesiones, La expiración de sesión insuficiente se produce cuando un sitio web permite a un atacante reutilizar credenciales de sesión o IDs de sesión antiguos para llevar a cabo la autorización.
  • Suplantación de contenido, la suplantación de contenido es una técnica de ataque utilizada para engañar al usuario haciéndole creer que cierto contenido que aparece en un sitio web es legítimo, cuando en realidad no lo es.
  • Comandos de Sistema Operativo, los comandos de sistema operativo es una técnica de ataque utilizada para explotar sitios web mediante la ejecución de comandos de sistema operativo a través de la manipulación de las entradas a la aplicación.
  • Indexación de directorio, la indexación/listado automático de directorio es una función del servidor web que lista todos los ficheros del directorio solicitado si no se encuentra presente el fichero de inicio habitual.
  • Fuga de información, la fuga de información se produce cuando un sitio web revela información sensible, como comentarios de los desarrolladores o mensajes de error, que puede ayudar a un atacante para explotar el sistema.
  • Path Traversal, la técnica de ataque Path Traversal fuerza el acceso a ficheros, directorios y comandos que potencialmente residen fuera del directorio “document root” del servidor web.
  • Localización de recursos predecibles, la localización de recursos predecibles es una técnica de ataque usada para descubrir contenido y funcionalidades ocultas en el sitio web.
  • Comandos de Sistema Operativo, los comandos de sistema operativo es una técnica de ataque utilizada para explotar sitios web mediante la ejecución de comandos de sistema operativo a través de la manipulación de las entradas a la aplicación.
  • Inyección de código SQL, la inyección de código SQL es una técnica de ataque usada para explotar sitios web que construyen sentencias SQL a partir de entradas facilitadas por el usuario.
  • Inyección de código SSI, la inyección de código SSI (Server-side Include) es una técnica de explotación en la parte servidora que permite a un atacante enviar código a una aplicación web, que posteriormente será ejecutado localmente por el servidor web.
  • Inyección XPath, la inyección XPath es una técnica de ataque utilizada para explotar sitios web que construyen consultas Xpath con datos de entrada facilitados por el usuario.
  • Anti-automatización insuficiente, la anti-automatización insuficiente se produce cuando un sitio web permite a un atacante automatizar un proceso que sólo debe ser llevado a cabo manualmente.
  • Localización de recursos predecibles la localización de recursos predecibles es una técnica de ataque usada para descubrir contenido y funcionalidades ocultas en el sitio web.
  • Suplantación de contenido, la suplantación de contenido es una técnica de ataque utilizada para engañar al usuario haciéndole creer que cierto contenido que aparece en un sitio web es legítimo, cuando en realidad no lo es.
  • DDOS, ataque de denegación de servicio, aprovechando ciertas vulnerabilidades, como la gestión de peticiones a la web, se puede hacer inaccesible la web.
auditoria web, pentest

Ataque DDOS

Todos estos ataques son pruebas que se realizan en un pentest. El pentest al ser pactado y planificado hace que sea mucho más seguro para el cliente y mediante el pentest, en el caso que se ejecutara algún ataque, se podrían probar las medidas disuasorias y la reacción del equipo técnico ante ese ataque. Un pentest nos permitiría probar la web, la reacción del equipo técnico y el protocolo de respuesta a incidentes.

Auditorías de ciberseguridad para las empresas

Auditorías de ciberseguridad para las empresas

Estos pasos te ayudarán a establecer una base sólida para la seguridad de la información en tu nueva empresa. Al seguir esta guía, no solo protegerás las operaciones de negocio contra amenazas potenciales, sino que también asegurarás el cumplimiento de las normativas aplicables, todo mientras construyes una cultura de seguridad robusta y proactiva.

Guía para un CISO: Pasos para Fortalecer la Ciberseguridad en tu Empresa

Guía para un CISO: Pasos para Fortalecer la Ciberseguridad en tu Empresa

Estos pasos te ayudarán a establecer una base sólida para la seguridad de la información en tu nueva empresa. Al seguir esta guía, no solo protegerás las operaciones de negocio contra amenazas potenciales, sino que también asegurarás el cumplimiento de las normativas aplicables, todo mientras construyes una cultura de seguridad robusta y proactiva.

Ir al contenido