Please enable JavaScript.
Coggle requires JavaScript to display documents.
Acceso transitivo y ataques del lado del cliente (:star:Características…
Acceso transitivo y ataques del lado del cliente
:star:Características
Se crean relaciones de confianza entre ordenadores
Es una forma o medio de atacar un ordenador
Se basa en la propiedad transitiva de las matemáticas
:check:Si A = B y B = C, entonces A = C.
:pencil2: Ejemplo
:check:Si tenemos en una LAN una computadora C que funge como servidor y aloja una base de datos.
:check:Tenemos un cliente B de la LAN que frecuentemente accede a la máquina C y esta autorizado.
:check:Si tenemos que el atacante con la máquina A puede crear de alguna manera un entorno de confianza con la máquina B entonces por la transitividad puede obtener la confianza de la máquina C y la base de datos se vería comprometida.
:warning: Ataque
:no_entry: Compromete la computadora B.
:no_entry: El atacante puede entonces lanzar un ataque por el lado del cliente.
:lock:Métodos de prevención
:check:Firewalls
:check:Sistemas de detección/prevención de intrusos.
:check:Actualizaciones
:check:Ningún ordenador debe confiar en otro por defecto (o solo temporalmente y de manera segura)
:check:Tener cada computadora cliente autenticada cada vez que se inicia una sesión en otra computadora
Tipos de ataque de acceso transitivo
Inyección SQL
:check:C:servidor de base de datos :check: B: servidor web tiene acceso al servidor de base de datos :check: A: Navegador web
Ataques de inyección SQL son un tipo de ataque acceso transitiva realizado desde el lado del cliente utilizando un navegador web.
Controles de seguridad
Técnicas de validación de entrada
Procedimientos almacenados
Herramienta
:check: SQLmap
:check: BSQL Hacker
:check: SQLninja
:check: Safe3 SQL Injector
:check: SQLSus
:check: Mole