jueves, 27 de septiembre de 2007

Errores de programacion

El principal problema de los llamados Hackers...prefiero llamarles Defacers mejor que es a lo que se dedican o eso nos hacen creer, tratan de modificar muchas veces el contenido de webs, o tambien los Crackers como alguien que entra en un sistema para hacer cosas ilegales y que perjudican al usuario, aunque eso de crackers se utiliza mas para los que estudian Ing. Inversa por lo que deberian llamarlos mas Ingenieros Inversos o algo asi jeje.
Tanto es asi que en la sociedad a los "Hackers" en la sociedad se les mira mal o lo usan de mala manera cuando muchos de ellos son los que arreglan los fallos de programacion al avisar de ellos y ayudan a mejorar el sistema. Entre los fallos mas importantes estan:

A nivel web:
Los que suelen ser por problemas de codigo de programacion para diseño de paginas web y que permiten hacer a un atacante muchas otras cosas como phising, intrusion total al servidor, sacar datos, contraseñas debiles y estudios de algoritmos para saltarse protecciones. Los fallos mas comunes son:
-XSS(Cross Site Scripting)
-CSRF(Cross site request forgery)
-RFI Y LFI(Remote/Local File Inclusion)
-INYECCIÓN SQL/LDAP/X-PATH
-VER CODIGO FUENTE SIN OFUSCAR(Java,Flash, Javascript...)

A nivel de software:
Los problemáticos que permiten principalmente ejecutar codigo arbitrario en la maquina o ganar permisos de admin son:
-BUFFER OVERFLOWS(Stack, Heap, Format String...)
-DOS/DDOS(Ataque de Denegación de Servicio, Distribuido)
-CODIGOS QUE PERMITEN BYPASSEAR PROTECCIONES(En php por ejemplo)
-OTRAS TECNICAS

Conociendo estas tecnicas muy bien y teniendo buena informacion es posible ya encontrar tus propios bugs y asi tener cuidado programando, es algo en lo que fallan las empresas, que se olvidan de la seguridad y luego llegan las consecuencias...por lo tanto deberian ponerse a enseñar como minimo estos fallos, dependiendo de lo que esten haciendo yentre todos ayudar a que haya mas info en español, asi que dentro de nada os escribo un articulo de una de nivel web que este lo mas completa y viendo todo tecnicamente y practicamente, ya que lo que busque en español siempre se repite, y lo del ingles habia buena info pero dispersada.

2 comentarios:

musashi dijo...

Ey Trancek! en los errores web te dejaste el X-path ;)

Trancek dijo...

ahi lo puse, pero faltan otros, que son o menos conocidos o menos importantes...y si me dejo algun importante avisenme jejeje k lo puse todo de cabeza xDD

Ahi tienen varios:
http://www.owasp.org/index.php/Category:Attack
http://www.owasp.org/index.php/Category:Vulnerability