martes, 5 de agosto de 2008

Miguel Justo: Nueva Terminología surgida de Black Hat 2008.

De la bitácora personal de Miguel Justo, encontramos un interesante texto, basado sobre una publicación en Gnucitizen, acerca de nueva terminología surgida de la conferencia de seguridad técnica Black Hat 2008 y que citamos a continuación, con algunos complementos.

Cuando se refiere a términos originados en la reciente Black Hat con otra persona que conoce poco de estos asuntos, a veces es un poco difícil de mantener la conversación, además de que continuamente aparecen nuevos términos referidos a un nuevo ataque. A continuación se muestran tres de los nuevos ataques evolucionados del XSS (Cross-site Scripting).

Cross-context Resquest Forgery

CCRF (Cross-context Resquest Forgery o falsificación de solicitud de contexto cruzado) es la forma generalizada de CSRF (Cross-site Request Forgery o falsificación de solicitud sitio cruzado). En la notación general del CSRF se dice que este sólo aplica a tipos de ataques sitio-a-sitio, pero en realidad esto es muy diferente. Los ataques CSRF pueden ser aplicados también a los ataques aplicación-a-aplicación y algunas otras formas. Miguel Justo encuentra que esta palabra en contexto es la forma mas genérica de expresar la esencia del ataque.

Cross-context Scripting

Es un estilo similar a CCRF. Cross-context Scripting (XCS o ejecución de guiones de contexto cruzado) es la forma generalizada del Cross-site Scripting (XSS o ejecución de guiones de sitios cruzados). Algunas personas algo ignorantes en cuanto a ataques XSS, tienden a creer que estos solamente se presentan en los sitios de red. Bien, en realidad estos se pueden presentar en cualquier parte. Esta categoría resume todos los ataques CCS incluyendo vulnerabilidades que afectan sitios de red y otras tecnologías Web basadas sobre el lado cliente.

Command Fixation Attacks

Existe una creciente tendencia de utilizar características de tecnologías en el lado del cliente que permiten a los atacantes ejecutar comandos sin la autorización del usuario. Entonces llamo un CFA (Command Fixation Attacks o ataques de fijación de mandato) e incluso en algunos casos se introducen los parámetros de mandatos, ya que los ataques son muy similares a SFA (Session Fixation Attacks o ataques de fijación de sesión), bien conocidos en el mundo la seguridad Web. En esta sección se describen numerosos casos de estudio dentro de esta categoría.

Fuente: Miguel Justo.

Ver artículo original

Publicado con El navegador Flock