|
Ataques en
la parte cliente
|
|
8
|
Suplantación de Contenido
La suplantación de contenido es una técnica de ataque utilizada para
engañar al usuario haciéndole creer que cierto contenido que aparece en un
sitio web es legítimo, cuando en realidad no lo es.
|
|
9
|
Cross-site Scripting
Cross-site Scripting (XSS) es una técnica de ataque que fuerza a un sitio
web a repetir código ejecutable facilitado por el atacante, y que se cargará
en el navegador del usuario.
|
|
Ejecución de
comandos
|
|
10
|
Desbordamiento de Buffer
La explotación de un desbordamiento de buffer es un ataque que altera el
flujo de una aplicación sobreescribiendo partes de la memoria.
|
|
11
|
Ataques de Formato de Cadena
Los ataques de formato de cadena alteran el flujo de una aplicación
utilizando las capacidades proporcionadas por las librerías de formato de
cadenas para acceder a otro espacio de memoria.
|
|
12
|
Inyección LDAP
La inyección LDAP es una técnica de ataque usada para explotar sitios web
que construyen sentencias LDAP a partir de datos de entrada suministrados por
el usuario.
|
|
13
|
Comandos de Sistema Operativo
Los comandos de sistema operativo es una técnica de ataque utilizada para
explotar sitios web mediante la ejecución de comandos de sistema operativo a
través de la manipulación de las entradas a la aplicación.
|
|
14
|
Inyección de código SQL
La inyección de código SQL es una técnica de ataque usada para explotar
sitios web que construyen sentencias SQL a partir de entradas facilitadas por
el usuario.
|
|
15
|
Inyección de código SSI
La inyección de código SSI (Server-side Include) es una técnica de
explotación en la parte servidora que permite a un atacante enviar código a
una aplicación web, que posteriormente será ejecutado localmente por el
servidor web.
|
|
16
|
Inyección XPath
La inyección XPath es una técnica de ataque utilizada para explotar
sitios web que construyen consultas Xpath con datos de entrada facilitados
por el usuario.
|
|
Revelación
de información
|
|
17
|
Indexación de Directorio
La indexación/listado automático de directorio es una función del
servidor web que lista todos los ficheros del directorio solicitado si no se
encuentra presente el fichero de inicio habitual.
|
|
18
|
Fuga de Información
La fuga de información se produce cuando un sitio web revela información
sensible, como comentarios de los desarrolladores o mensajes de error, que
puede ayudar a un atacante para explotar el sistema.
|
|
19
|
Path Traversal
La técnica de ataque Path Traversal fuerza el acceso a ficheros,
directorios y comandos que potencialmente residen fuera del directorio
“document root” del servidor web.
|
|
20
|
Localización de Recursos Predecibles
La localización de recursos predecibles es una técnica de ataque usada
para descubrir contenido y funcionalidades ocultas en el sitio web.
|
|
Ataques
lógicos
|
|
21
|
Abuso de Funcionalidad
El abuso de funcionalidad es una técnica de ataque que usa las propias
capacidades y funcionalidades de un sitio web para consumir, estafar o evadir
mecanismos de control de acceso.
|
|
22
|
Denegación de Servicio
La denegación de servicio (Denial of Service, DoS) es una técnica de
ataque cuyo objetivo es evitar que un sitio web permita la actividad habitual
de los usuarios.
|
|
23
|
Anti-automatización Insuficiente
La anti-automatización insuficiente se produce cuando un sitio web
permite a un atacante automatizar un proceso que sólo debe ser llevado a cabo
manualmente.
|
|
24
|
Validación de Proceso Insuficiente
La validación de proceso insuficiente se produce cuando un sitio web
permite a un atacante evadir o engañar el flujo de control esperado por la
aplicación.
|
