La programación de tu página, clave de la entrada de hackers
Los fabricantes de microprocesadores tratan de evitar con mecanismos hardware el uso de técnicas de desbordamiento del búfer, tradicionalmente muy populares entre los hackers. Ahora el peligro es otro: la programación de tu web es la clave para la entrada de intrusos.
Lenguajes como Java, .NETy PHP tienen la misma filosofía y objetivos: permitir la interacción entre objetos y páginas web en tanto en cuanto provengan del mismo dominio. Pero algunas páginas tienen fallos en su programación que permiten que páginas "espía" encuentren vulnerabilidades y que den un acceso potencial a datos sensibles en otros objetos o ventanas del navegador.
La técnica está extendiéndose como la pólvora según las cifras que publica la empresa de seguridad Mitre. Según ellos, hay noticia de 20.000 vulnerabilidades de este tipo, y el 21,5 por ciento estaban relacionadas con XSS. A continuación se encontraba un 14% de ataques a través de SQL, que ejecutan peticiones maliciosas a la base de datos.
En tercer lugar se encuentran las vulnerabilidades de los "include" PHP, con un 9,5% del total, y en las cuales un atacante ejecuta un script al azar incluyéndolo en un script ya existente. El viejo compañero de los hackers, el buffer overflow, desciende a la cuarta posición con un 7,9% de los ataques notificados.
Los resultados del informe se hicieron públicos el fin de semana y pueden ser consultados aquí.
Fuentes:
http://uk.theinquirer.net/?article=34468
http://es.theinquirer.net/2006/09/19/la_programacion_de_tu_pagina_c.html
___
Lenguajes como Java, .NETy PHP tienen la misma filosofía y objetivos: permitir la interacción entre objetos y páginas web en tanto en cuanto provengan del mismo dominio. Pero algunas páginas tienen fallos en su programación que permiten que páginas "espía" encuentren vulnerabilidades y que den un acceso potencial a datos sensibles en otros objetos o ventanas del navegador.
La técnica está extendiéndose como la pólvora según las cifras que publica la empresa de seguridad Mitre. Según ellos, hay noticia de 20.000 vulnerabilidades de este tipo, y el 21,5 por ciento estaban relacionadas con XSS. A continuación se encontraba un 14% de ataques a través de SQL, que ejecutan peticiones maliciosas a la base de datos.
En tercer lugar se encuentran las vulnerabilidades de los "include" PHP, con un 9,5% del total, y en las cuales un atacante ejecuta un script al azar incluyéndolo en un script ya existente. El viejo compañero de los hackers, el buffer overflow, desciende a la cuarta posición con un 7,9% de los ataques notificados.
Los resultados del informe se hicieron públicos el fin de semana y pueden ser consultados aquí.
Fuentes:
http://uk.theinquirer.net/?article=34468
http://es.theinquirer.net/2006/09/19/la_programacion_de_tu_pagina_c.html
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!