Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Miguel Justo: Nueva Terminología surgida de Black Hat 2008.

De la bitácora personal de Miguel Justo, encontramos un interesante texto, basado sobre una publicación en Gnucitizen, acerca de nueva terminología surgida de la conferencia de seguridad técnica Black Hat 2008 y que citamos a continuación, con algunos complementos.

Cuando se refiere a términos originados en la reciente Black Hat con otra persona que conoce poco de estos asuntos, a veces es un poco difícil de mantener la conversación, además de que continuamente aparecen nuevos términos referidos a un nuevo ataque. A continuación se muestran tres de los nuevos ataques evolucionados del XSS (Cross-site Scripting).

Cross-context Resquest Forgery

CCRF (Cross-context Resquest Forgery o falsificación de solicitud de contexto cruzado) es la forma generalizada de CSRF (Cross-site Request Forgery o falsificación de solicitud sitio cruzado). En la notación general del CSRF se dice que este sólo aplica a tipos de ataques sitio-a-sitio, pero en realidad esto es muy diferente. Los ataques CSRF pueden ser aplicados también a los ataques aplicación-a-aplicación y algunas otras formas. Miguel Justo encuentra que esta palabra en contexto es la forma mas genérica de expresar la esencia del ataque.

Cross-context Scripting

Es un estilo similar a CCRF. Cross-context Scripting (XCS o ejecución de guiones de contexto cruzado) es la forma generalizada del Cross-site Scripting (XSS o ejecución de guiones de sitios cruzados). Algunas personas algo ignorantes en cuanto a ataques XSS, tienden a creer que estos solamente se presentan en los sitios de red. Bien, en realidad estos se pueden presentar en cualquier parte. Esta categoría resume todos los ataques CCS incluyendo vulnerabilidades que afectan sitios de red y otras tecnologías Web basadas sobre el lado cliente.

Command Fixation Attacks

Existe una creciente tendencia de utilizar características de tecnologías en el lado del cliente que permiten a los atacantes ejecutar comandos sin la autorización del usuario. Entonces llamo un CFA (Command Fixation Attacks o ataques de fijación de mandato) e incluso en algunos casos se introducen los parámetros de mandatos, ya que los ataques son muy similares a SFA (Session Fixation Attacks o ataques de fijación de sesión), bien conocidos en el mundo la seguridad Web. En esta sección se describen numerosos casos de estudio dentro de esta categoría.

Fuente: Miguel Justo.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/20080804225703105
  • Miguel Justo: Nueva Terminología surgida de Black Hat 2008.
  • 0comentarios
  • Crea cuenta nueva
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.