El ataque Cross-Site Request Forgery (CSRF) es una ataque que a diferencia del Cross-Site Scripting, se basa en la confianza de una web en el usuario que va a ser víctima del ataque. Aprovechando esa confianza y a través de los permisos efectivos en ese momento de ese usuario en la web, se pueden ejecutar scripts para que la víctima ejecute acciones sin ser consciente de ello.
Las vulnerabilidades web están de moda, y una de ellas es la inyección CRLF (CRLF Injection). Esta vulnerabilidad ocurre cuando un atacante es capaz de inyectar datos en una petición a un servidor, debido a la falta de filtrado de datos de entrada por parte del mismo. En este caso, la web afectada permite pasar directamente valores a los campos de respuesta (Location, Set-Cookie..) sin sanearlos lo que a su vez nos permite diversos tipos de ataque como XSS, Cache-Poisoning, Cache-based defacement,page injection..
Los ataques de denegación de servicio (DoS) son probablemente uno de los tipos de ataques más sencillos de llevar a cabo y a la vez uno de los más complicados de contrarrestar. Estos hechos han provocado en los últimos tiempos que este tipo de ataques informáticos se hayan convertido en recurso habitual para todo tipo de hackers, aunque también nos pueden servir a los administradores de red como test para comprobar hasta que punto pueden llegar a responder nuestros sistemas.
En esta segunda entrega de las descripciones de los diferentes tipos de ataques informáticos vamos a conocer a un ataque llamado RFI (Remote File Inclusion). El RFI es uno de los ataques favoritos contra (o a través) de páginas web para los hackers, en 2011 se situó entre los cuatro ataques más comunes contra páginas web. Este tipo de ataques es tan popular ya que a través de una explotación exitosa de la vulnerabilidad obtener el control del servidor de la web y además permite un realizar defacements de manera relativamente sencilla. Recordemos el gran ataque contra blogs WordPress que tuvo lugar hace unos meses, este tuvo lugar por culpa de una vulnerabilidad LFI en un add-on de WordPress.
Internet es tal y como la conocemos gracias a una serie de tecnologías clave, como la que nos ocupa en este artículo, DNS. El DNS o Domain Name System es un sistema de nomenclatura que se encarga de traducir las direcciones IP conectadas a Internet a nombres legibles para las personas y de mantener de manera distribuida una base de datos que asocia nombres a información de dominios. Pues, para abrir la sección de ataques informáticos, vamos a ocuparnos de un agujero en la seguridad DNS descubierto por varios investigadores de la Universidad de Tsinghua, la Universidad de Oregon, la Universidad Carlos III de Madrid y la Universidad de Georgia, que permite tal y como ellos mismos llamaron los Ghost Domains.