Glosario de ciberataques web

En este glosario de ciberataques web, repasaremos las principales técnicas de hacking para entornos web.

Las aplicaciones web son softwares que pueden y suelen presentar vulnerabilidades, es decir, fallos de programación que ponen en riesgo la seguridad de la página. La mejor forma de encontrar fallos en cualquier software es ejecutar un test de penetración. Para ello, es necesario conocer las principales técnicas de hacking, que permiten identificar y explotar dichas vulnerabilidades.

Por eso, a continuación, veremos un glosario de ciberataques web con las definiciones de algunos de los ataques más comunes dirigidos hacia estos entornos.

Glosario de ciberataques web

Inyección SQL

La inyección SQL es un tipo de ciberataque web que consiste en ejecutar comandos en el lenguaje SQL por medio de un input desde el lado del cliente. El lenguaje SQL se utiliza para interactuar con bases de datos y, por lo tanto, la inyección de comandos SQL permite leer, modificar, añadir o eliminar información de las bases utilizadas por la aplicación.

Cross-site Scripting

El cross-site scripting o XSS es un ciberataque que consiste en inyectar comandos de código JavaScript en el navegador de una víctima, gracias a una vulnerabilidad presente en una aplicación web. Existen tres tipos de XSS:

• XSS reflejado: se propaga por medio de direcciones URL y el ciberataque solamente se ejecuta en el navegador de los clientes que accedan a la página a través de dicho enlace.
• XSS persistente: se ejecuta por medio de un input que queda guardado permanentemente en las bases de datos de una aplicación. Por ejemplo, en la sección de comentarios. Es un ataque más peligroso, ya que le aparece a todo aquel que visite el sitio atacado.
• XSS basado en DOM: el Domain Object Model es una interfaz de programación de aplicaciones (API) que se puede utilizar desde el lado del cliente para interactuar con la aplicación web con lenguaje de código. Algunas veces, estas API contienen vulnerabilidades que permiten hacer ataques XSS.

Inyección de comandos

La inyección de comandos, a diferencia de las demás inyecciones de código incluidas en este glosario de ciberataques web, es un ciberataque que consiste en ejecutar comandos Bash para Linux en el servidor de la página web. Es decir, permite ejecutar reverse shells con el fin de tomar el control total de dicho servidor. Así, es posible exfiltrar información sensible de la página y sus clientes; asimismo, se pueden ejecutar tareas perjudiciales para la aplicación.

Cross-site Request Forgery

El Cross-site Request Forgery es un ciberataque que permite ejecutar tareas significativas en una aplicación por medio de un enlace enviado a la víctima. Se diferencia del cross-site scripting en que lo se realiza una inyección de código en el navegador del usuario que ejecuta el enlace. Simplemente, se pueden realizar tareas como, por ejemplo, cambiarle la contraseña al usuario de forma automática.

Ataque de fuerza bruta

Un ataque de fuerza bruta consiste en automatizar pruebas de ensayo y error hasta encontrar las credenciales correctas de un usuario para acceder a su cuenta. Es decir, es un método que se utiliza para descubrir nombres de usuarios y contraseñas con el poder de procesamiento de un ordenador.

Los ataque se fuerza bruta son altamente efectivos para descubrir contraseñas fáciles, pero absolutamente ineficientes para hallar contraseñas robustas. Esto significa que son la causa de la importancia de elegir contraseñas largas y aleatorias para nuestras cuentas de usuario.

¿Cómo aprender más?

Ya hemos visto este glosario de ciberataques web con las definiciones de algunos de los más ataques más comunes para estos entornos. Si quieres aprender más sobre técnicas y conceptos de hacking web, ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. ¡No sigas esperando! ¡Inscríbete ya e impulsa tu carrera en el sector IT!