¿Cuáles son los 5 ataques más comunes en sitios web?

Al abordar cualquier pregunta sobre la seguridad del sitio web, vale la pena mencionar que cualquier problema de seguridad de la información generalmente se enmarca en la “Tríada de la CIA”, que es la abreviatura de Confidencialidad, Integridad y Disponibilidad y no tiene (necesariamente) nada que ver con el espionaje del gobierno Tu contenido.


En resumen, esto significa que cualquier amenaza a su sitio web implicará la confidencialidad o privacidad de los datos, la integridad o la modificación no autorizada, y la disponibilidad, que es la garantía de que un atacante no desconectará su sitio web a través de un ataque DoS, un ataque DDoS u otro método.

Al darme cuenta de que el OP solicitó los “5 ataques más comunes”, diría que esta pregunta se responde mejor refiriéndose al proyecto OWASP Top 10, un documento de conciencia publicado por el Open Web Application Security Project que recopila datos de numerosas empresas de seguridad, consultores y proveedores de aplicaciones para determinar las 10 principales amenazas que enfrentan los desarrolladores web:

Inyección A1
Los defectos de inyección, como la inyección de SQL, OS y LDAP se producen cuando se envían datos no confiables a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no deseados o acceda a los datos sin la autorización adecuada.

A2-Autenticación rota y gestión de sesiones
Las funciones de la aplicación relacionadas con la autenticación y la administración de sesiones a menudo no se implementan correctamente, lo que permite a los atacantes comprometer contraseñas, claves o tokens de sesión, o explotar otros defectos de implementación para asumir las identidades de otros usuarios.

A3-Cross-Site Scripting (XSS)
Las fallas de XSS se producen cada vez que una aplicación toma datos no confiables y los envía a un navegador web sin una validación o escape adecuados. XSS permite a los atacantes ejecutar scripts en el navegador de la víctima que pueden secuestrar sesiones de usuario, desfigurar sitios web o redirigir al usuario a sitios maliciosos.

Referencias directas a objetos inseguros A4
Una referencia directa a un objeto ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, como un archivo, directorio o clave de base de datos. Sin una verificación de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder a datos no autorizados.

A5-Configuración incorrecta de seguridad
Una buena seguridad requiere tener una configuración segura definida e implementada para la aplicación, los marcos, el servidor de aplicaciones, el servidor web, el servidor de bases de datos y la plataforma. La configuración segura debe definirse, implementarse y mantenerse, ya que los valores predeterminados a menudo son inseguros. Además, el software debe mantenerse actualizado.

Exposición de datos sensibles a A6
Muchas aplicaciones web no protegen adecuadamente los datos confidenciales, como tarjetas de crédito, ID de impuestos y credenciales de autenticación. Los atacantes pueden robar o modificar dichos datos débilmente protegidos para realizar fraudes con tarjetas de crédito, robo de identidad u otros delitos. Los datos confidenciales merecen protección adicional, como el cifrado en reposo o en tránsito, así como precauciones especiales cuando se intercambian con el navegador.

A7-Control de acceso de nivel de función faltante
La mayoría de las aplicaciones web verifican los derechos de acceso a nivel de función antes de hacer que esa funcionalidad sea visible en la interfaz de usuario. Sin embargo, las aplicaciones deben realizar las mismas verificaciones de control de acceso en el servidor cuando se accede a cada función. Si no se verifican las solicitudes, los atacantes podrán falsificarlas para acceder a la funcionalidad sin la autorización adecuada.

A8-Falsificación de solicitudes en sitios cruzados (CSRF)
Un ataque CSRF obliga a un navegador de la víctima que inició sesión a enviar una solicitud HTTP falsificada, incluida la cookie de sesión de la víctima y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la víctima a generar solicitudes que la aplicación vulnerable cree que son solicitudes legítimas de la víctima.

A9-Uso de componentes con vulnerabilidades conocidas
Los componentes, como las bibliotecas, los marcos y otros módulos de software, casi siempre se ejecutan con todos los privilegios. Si se explota un componente vulnerable, dicho ataque puede facilitar la pérdida grave de datos o la adquisición del servidor. Las aplicaciones que usan componentes con vulnerabilidades conocidas pueden socavar las defensas de las aplicaciones y permitir una variedad de posibles ataques e impactos.

A10: redireccionamientos y reenvíos no validados
Las aplicaciones web con frecuencia redirigen y reenvían a los usuarios a otras páginas y sitios web, y usan datos no confiables para determinar las páginas de destino. Sin una validación adecuada, los atacantes pueden redirigir a las víctimas a sitios de phishing o malware, o usar reenvíos para acceder a páginas no autorizadas.

Fuente: Página en owasp.org

Esta lista es sorprendentemente autoritaria. Muchas de las compañías más grandes del mundo incorporan esta lista en los requisitos del proyecto y requieren que los proveedores de seguridad de la información hablen sobre cómo tienen la intención de abordar cada elemento en el Top 10 de OWASP.

Desafortunadamente, esta lista no aborda sustancialmente el problema de las amenazas más comunes a la disponibilidad, específicamente los ataques DDoS, que son una preocupación importante para los operadores de sitios web. En el segundo trimestre de 2014, Black Lotus observó una caída del 86% en los ataques NTP DrDoS y un aumento del 140% en los ataques TCP SYN y de la capa de aplicaciones web, como HTTP GET. Estos se conocen como ataques multivectoriales y son motivo de grave preocupación para los operadores. En breve:

Las inundaciones TCP SYN son un tipo de ataque de capa de protocolo que representa una amenaza para el servidor web en sí, inundando un servidor con solicitudes falsas e inundando sus recursos hasta que no pueda responder. Este tipo de ataque se aborda adecuadamente con numerosas soluciones, o preferiblemente una combinación de soluciones, para incluir protección DDoS basada en la red, defensa de aplicaciones web basadas en “nube” o proxy, y servidores web bien configurados que pueden manejar adecuadamente y expirar altos volúmenes de sesión .

Los ataques de capa de aplicación son ataques DDoS que aprovechan las ineficiencias en la propia aplicación web. Estos son a menudo difíciles de detectar en la capa de red, lo que significa que muchos servicios de protección aguas arriba pueden no ser de mucha ayuda, lo que obliga al operador del sitio web a confiar en una combinación de “nube” o soluciones basadas en proxy y las mejores prácticas en el diseño de aplicaciones y gestión de su arquitectura de soporte para incluir httpd, mysqld, etc. Esencialmente, esto significa tomar las decisiones correctas al decidir qué software usar, la configuración y el diseño del propio software. Por ejemplo, una aplicación que realiza llamadas intensivas de recursos a mysqld se ataca fácilmente creando volúmenes relativamente bajos de transacciones destinadas a detener el funcionamiento normal del servidor SQL. Esta es solo una de las miles de posibilidades en las que un atacante puede identificar una falla o ineficiencia en una aplicación web y usarla para causar una condición de denegación de servicio que no se detecta fácilmente en la capa de red.

Los ataques de múltiples vectores que ahora son bastante comunes combinan el uso de la capa de protocolo y los ataques de la capa de aplicación para apuntar a los recursos del servidor y la aplicación simultáneamente. Con la disponibilidad del servicio afectada en múltiples frentes, incluso los operadores altamente calificados pueden no ser capaces de determinar y remediar rápidamente la causa de la degradación. Los atacantes lo saben y continuarán usándolo para su ventaja.

Fuente: Black Lotus Threat Report revela un aumento del 140 por ciento en ataques DDoS multivectoriales en el segundo trimestre de 2014

Las vulnerabilidades de software comunes son:
a) SQLi (inyección sql)
b) Cross Site Scriptiong (XSS)
c) LFI y RFI
Estos ataques también son riesgos y peligros.
Puede sentir que su sitio web nunca será pirateado, pero no puede estar completamente seguro, ya que las investigaciones de seguridad identifican continuamente nuevas vulnerabilidades que hacen que las aplicaciones web sean vulnerables incluso por las razones más pequeñas. Obtenga más información para proteger sus sitios web de ataques:
http://www.avyaan.com/blog/10-ti

inyección SQL
Olfatear
Ataque XSS
Pentesting de aplicaciones web usando Java Script
Ataque de suplantación de identidad

Hoy en día, la inyección de SQL y los ataques de phishing se vuelven obsoletos.
así que los principales ataques son ->
1. secuestro de sesión
2. XSS persistente
3. hombre en el medio ataque
4. exploits de aplicaciones web
4. ataque marco metasploit