Cuando hablamos con terminos Black Hat con otra persona que conoce poco de estos asuntos, a veces es un poco dificil de mantener la conversacion, ademas de que continuamente aparacen nuevos terminos referidos a un nuevo ataque. Aqui muestro 3 de los nuevos ataques evolucionados del XSS.
Cross-context Resquest Forgery
CCRF (Cross-context Resquest Forgery) es la forma generalizada del CSRF(Cross-site Request Forgery). En la notacion general del CSRF se dice que este solo aplica a tipos de ataques sitio-a-sitio, pero en realidad esto es muy diferente. Los ataques CSRF pueden ser aplicados tambien a los ataques aplicacion-a-aplicacion y algunas otras formas, yo encuentro que esta palabra en contexto es la forma mas generica de expresar la esencia del ataque.
Cross-context Scripting
Es un estilo similar a CCRF, Cross-context Scripting (XCS) es la forma generalizada del Cross-site Scripting (XSS). Algunas personas algo ignorantes en cuanto a ataques XSS, tienden a creer que estos solamente se presentan en los sitios web. Bien, en realidad estos se pueden presentar en cualquier parte. Esta categoria resume todos los ataques CCS incluyendo vulnerabilidades que afectan sitios web y otras tecnologias web basadas en el lado cliente.
Command Fixation Attacks
Existe una creciente tendencia de utilizar características de tecnologias en el lado del cliente que permiten a los atacantes ejecutar comandos sin la autorización del usuario. Entonces llamo un Command Fixation Attacks e incluso en algunos casos se introducen los parámetros de comandos, ya que los ataques son muy similares a Session Fixation Attacks, bien conocidos en el mundo la seguridad Web. En esta sección se describen numerosos casos de estudio dentro de esta categoría.
Enlace: Gnucitizen
Entradas relacionadas:
lunes, 4 de agosto de 2008
Suscribirse a:
Enviar comentarios (Atom)
0 comentarios :
Publicar un comentario