Please enable JavaScript.
Coggle requires JavaScript to display documents.
Mod5 Desarrollo de Aplicaciones de Negocio - Coggle Diagram
Mod5 Desarrollo de Aplicaciones de Negocio
Jugar con el perfmon para ver Metricas -> observación de línea base (cómo salió de fábrica), la recoleccion de datos
Vector de ataque: conjunto de pasos para q se de un ataque , el conjunto de vectores es un arbol de ataque
14: Vulnerabilidades de Código Fuente
Vulnerabilidades de Código
Una vulnerabilidad es una falla o error en el código fuente, se pueden dar en el software base de una computadora o programa produciendo un resultado incorrecto
Pueden afectar la funcionalidad, el rendimiento y la seguridad
Issue (Inyeccion)
Engañar a una app para q incluya comandos no deseados (ejm: SQL)
Broken Authentication
Cross-Site Scripting
• Los vectores de ataque más comunes son
formularios
web no validados
:
• Campos que solo deben aceptar números o cinco caracteres no tienen ninguna validación de entrada
• Un atacante puede ingresar un comando en ese campo para extraer información
• Para evitarlos se debe validar las entradas y salidas.
• En el caso de autenticación rota un atacante usa fugas o fallas en las funciones de autenticación o administración de sesiones, para hacerse pasar por un usuario
• Cross-Site Scripting (XSS) es un tipo especial de inyección de código malicioso en una aplicación web vulnerable o incluso en una base de datos de back-end que se ejecuta localmente en el navegador de la víctima
• Un atacante puede secuestrar la sesión del usuario, o redireccionarle a un sitio
• Se debe revisar el código javascript y correr programas de diagnóstico en sitios
Cómo identificarlos?
Realizando revisiones de seguridad para auditar el código fuente de una aplicación y verificar que ha sido escrito de forma segura
• Análisis estático es el examen del código que no se está ejecutando en busca de vulnerabilidades
• Pruebas de caja blanca para analizar la estructura interna de una aplicación con conocimiento explícito
• Pruebas de penetración para evaluar la seguridad al intentar aprovechar las vulnerabilidades, ya sea código, configuración o funcionalidad
Buffer Overflow Attack
Al atacante permite conocer la distribución de memoria
Conocer EBP, EIP ye ejcutar codigo malicioso
EBP
EIP
busca de vulnerabilidades
• Pruebas de caja blanca para analizar la estructura interna de una
aplicación con conocimiento explícito
• Pruebas de penetración para evaluar la seguridad al intentar aprovechar
las vulnerabilidades, ya sea código, configuración o funcionalidad