2

OWASP TOP-10 (Glosario)

logo.png
  • Two-factor authentication (2FA) - Es una forma de añadir seguridad adicional a su cuenta. El primer “factor” es su contraseña habitual que es estándar para cualquier cuenta. El segundo “factor” es un código de verificación que se obtiene de una aplicación en un dispositivo móvil u ordenador. El sistema 2FA es conceptualmente similar a un dispositivo de seguridad que los bancos de algunos países exigen para la banca online. Otros nombres para los sistemas 2FA son OTP (contraseña de un solo uso) y TOTP (algoritmo de contraseña de un solo uso basada en el tiempo).

  • APIs - Una interfaz de programa de aplicación (API) es un conjunto de rutinas, protocolos y herramientas para crear aplicaciones de software. Básicamente, una API especifica cómo deben interactuar los componentes del software.

  • Authentication - Es el acto de confirmar la veracidad de un atributo de un dato único que se reclama como verdadero por una entidad.

  • Broken Authentication - Este tipo de debilidades puede permitir a un atacante capturar o evitar los métodos de autenticación que utiliza una aplicación web.

  • Command - En informática, un comando es una directiva a un programa informático que actúa como intérprete de algún tipo para realizar una tarea específica.

  • Cross-Site Request Forgery (CSRF) - La falsificación de petición en sitios cruzados, también conocida como ataque de un solo clic o de sesión y abreviada como CSRF (a veces se pronuncia sea-surf) o XSRF, es un tipo de explotación maliciosa de un sitio web en el que se transmiten comandos no autorizados desde un usuario en el que la aplicación web confía.

  • Cross-Site Scripting (XSS) - Una vulnerabilidad que permite a los atacantes inyectar código malicioso en un sitio web que de otro modo sería benigno. Estos scripts adquieren los permisos de los scripts generados por el sitio web objetivo y, por tanto, pueden comprometer la confidencialidad e integridad de las transferencias de datos entre el sitio web y el cliente. Los sitios web son vulnerables si muestran datos suministrados por el usuario a partir de solicitudes o formularios sin desinfectar los datos para que no sean ejecutables.

  • DAST - Las pruebas de seguridad de aplicaciones dinámicas (DAST) son una metodología de pruebas de seguridad de caja negra en la que se prueba una aplicación desde el exterior. Un probador que utiliza DAST examina una aplicación cuando se está ejecutando e intenta hackearla como lo haría un atacante.

  • Deserialization - Los datos informáticos se organizan generalmente en estructuras de datos como matrices, registros, gráficos, clases u otras configuraciones para ser más eficientes. Cuando las estructuras de datos necesitan ser almacenadas o transmitidas a otro lugar, como por ejemplo a través de una red, necesitan pasar por un proceso llamado serialización. Este proceso convierte y cambia la organización de los datos en un formato lineal que es necesario para el almacenamiento o la transmisión a través de dispositivos informáticos. El proceso de deserialización de los datos lineales es el inverso, y hace que el objeto Dirección se instancie en la memoria.

  • Direct object references - Según OWASP, una referencia directa a un objeto se produce cuando un desarrollador expone una referencia a un objeto de implementación interna, como un archivo, un directorio o una clave de base de datos. Sin una comprobación de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder a datos no autorizados.

  • DNS (Domain Name System) - Sistema de Internet que convierte los nombres alfabéticos en direcciones IP numéricas. Por ejemplo, cuando se escribe una dirección web (URL) en un navegador, los servidores DNS devuelven la dirección IP del servidor web asociado a ese nombre. En este ejemplo inventado, el DNS convierte la URL www.company.com en la dirección IP 204.0.8.51. Sin el DNS, tendrías que teclear la serie de cuatro números y puntos en tu navegador para recuperar el sitio web, cosa que sí puedes hacer.

  • DoS attack - Un ataque de denegación de servicio (DoS) es un ataque destinado a apagar una máquina o red, haciéndola inaccesible a sus usuarios. Los ataques de denegación de servicio lo consiguen inundando el objetivo con tráfico, o enviando información que desencadena una caída. En ambos casos, el ataque DoS priva a los usuarios legítimos (es decir, empleados, miembros o titulares de cuentas) del servicio o recurso que esperaban.

  • Document Object Model (DOM) - El Modelo de Objetos del Documento es una interfaz de programación para documentos HTML y XML. Representa la página para que los programas puedan modificar la estructura, el estilo y el contenido del documento.

  • DOM XSS - El XSS basado en el DOM (o como se denomina en algunos textos, “XSS de tipo 0”) es un ataque XSS en el que la carga útil del ataque se ejecuta como resultado de la modificación del “entorno” del DOM en el navegador de la víctima utilizado por el script original del lado del cliente, de modo que el código del lado del cliente se ejecuta de una manera “inesperada”. Es decir, la página en sí (es decir, la respuesta HTTP) no cambia, pero el código del lado del cliente contenido en la página se ejecuta de forma diferente debido a las modificaciones maliciosas que se han producido en el entorno DOM.

  • Error-based - Las inyecciones basadas en errores se explotan mediante la activación de errores en la base de datos cuando se le pasan entradas no válidas. Los mensajes de error pueden utilizarse para devolver los resultados completos de la consulta, o para obtener información sobre cómo reestructurar la consulta para su posterior explotación.

  • Exploit - Un programa o sistema diseñado para aprovechar un error particular o una vulnerabilidad de seguridad en ordenadores o redes.

  • Frameworks - En los sistemas informáticos, un marco de trabajo suele ser una estructura en capas que indica qué tipo de programas pueden o deben construirse y cómo se interrelacionan.

  • FTP - El Protocolo de Transferencia de Archivos (FTP) es un protocolo de red estándar utilizado para la transferencia de archivos informáticos entre un cliente y un servidor en una red informática. El FTP se basa en una arquitectura de modelo cliente-servidor que utiliza conexiones de control y de datos separadas entre el cliente y el servidor.

  • GDPR - El Reglamento General de Protección de Datos es una norma de la legislación de la UE sobre protección de datos y privacidad para todos los ciudadanos individuales de la Unión Europea y el Espacio Económico Europeo. También aborda la exportación de datos personales fuera de la UE y del EEE.

  • GUI - La interfaz gráfica de usuario es una forma de interfaz de usuario que permite a los usuarios interactuar con dispositivos electrónicos a través de iconos gráficos e indicadores visuales, como la notación secundaria, en lugar de interfaces de usuario basadas en texto, etiquetas de comandos escritas o navegación de texto.

  • Hashing - El hashing es la generación de un valor o valores a partir de una cadena de texto mediante una función matemática. El hashing es una forma de habilitar la seguridad durante el proceso de transmisión de un mensaje cuando éste está destinado únicamente a un destinatario concreto.

  • HIPAA - La HIPAA (Health Insurance Portability and Accountability Act de 1996) es una legislación estadounidense que establece disposiciones de privacidad y seguridad de los datos para salvaguardar la información médica.

  • HTML - El lenguaje de marcado de hipertexto (HTML) es el lenguaje de marcado estándar para los documentos diseñados para ser mostrados en un navegador web. Puede ser asistido por tecnologías como las Hojas de Estilo en Cascada (CSS) y lenguajes de scripting como JavaScript.

  • HTTP - HTTP significa Protocolo de Transferencia de Hipertexto. HTTP es el protocolo subyacente utilizado por la World Wide Web y este protocolo define cómo se formatean y transmiten los mensajes, y qué acciones deben realizar los servidores web y los navegadores en respuesta a diversos comandos.

  • Insecure Deserialization - La deserialización insegura es una vulnerabilidad que se produce cuando se utilizan datos no confiables para abusar de la lógica de una aplicación, infligir un ataque de denegación de servicio (DoS) o incluso ejecutar código arbitrario al ser deserializados. También ocupa el puesto número 8 en la lista OWASP Top 10 2017.

  • Insufficient Logging - La explotación de un registro y una supervisión insuficientes es la base de casi todos los incidentes importantes. Los atacantes se basan en la falta de supervisión y de respuesta oportuna para lograr sus objetivos sin ser detectados.

  • Interpreter - Un intérprete es un programa informático que ejecuta directamente las instrucciones escritas en un lenguaje de programación o de scripting, sin necesidad de haberlas compilado previamente en un programa de lenguaje de máquina.

  • JSON - JSON (JavaScript Object Notation) es un formato ligero de intercambio de datos. Es fácil de leer y escribir para los humanos. Para las máquinas es fácil de analizar y generar.

  • LDAP - LDAP son las siglas de Lightweight Directory Access Protocol. Como su nombre indica, se trata de un protocolo ligero cliente-servidor para acceder a servicios de directorio, concretamente a servicios de directorio basados en X.500. LDAP se ejecuta sobre TCP/IP u otros servicios de transferencia orientados a la conexión. LDAP se define en el RFC2251 “The Lightweight Directory Access Protocol (v3)”.

  • Libraries - En informática, una biblioteca es una colección de recursos no volátiles utilizados por los programas informáticos, a menudo para el desarrollo de software. Pueden incluir datos de configuración, documentación, datos de ayuda, plantillas de mensajes, código preescrito y subrutinas, clases, valores o especificaciones de tipo.

  • MFA - La autenticación multifactorial (MFA) es un método de autenticación en el que un usuario de ordenador sólo tiene acceso después de presentar con éxito dos o más pruebas (o factores) a un mecanismo de autenticación.

  • Mutillidae - Mutillidae es una aplicación web gratuita y de código abierto que permite a los entusiastas de la seguridad realizar pen-test y hackear una aplicación web.

  • MySQL - MySQL es un sistema de gestión de bases de datos relacionales de código abierto. Su nombre es una combinación de “My”, el nombre de la hija del cofundador Michael Widenius, y “SQL”, la abreviatura de Structured Query Language. MySQL es la base de datos de código abierto más popular del mundo, que permite ofrecer de forma rentable aplicaciones de bases de datos fiables, de alto rendimiento y escalables basadas en la web y en la red. Se trata de una base de datos integrada, segura en cuanto a transacciones y que cumple con el estándar ACID, con funciones de confirmación completa, reversión, recuperación de fallos y bloqueo de filas.

  • Networking - Sistema(s) de información implementado(s) con una colección de componentes interconectados. Estos componentes pueden incluir routers, hubs, cableado, controladores de telecomunicaciones, centros de distribución de claves y dispositivos de control técnico.

  • NIST - El Instituto Nacional de Normas y Tecnología es un laboratorio de ciencias físicas y una agencia no reguladora del Departamento de Comercio de los Estados Unidos. Su misión es promover la innovación y la competitividad industrial.

  • Nslookup - El nombre “nslookup” significa “búsqueda en el servidor de nombres”. nslookup es una herramienta de línea de comandos de administración de redes disponible en muchos sistemas operativos de ordenadores para consultar el Sistema de Nombres de Dominio (DNS) para obtener la asignación de nombres de dominio o direcciones IP, u otros registros DNS.

  • ORM (Object-relational-mapping) queries - El mapeo objeto-relacional es la idea de poder escribir consultas, utilizando el paradigma orientado a objetos de su lenguaje de programación preferido. Es un método para interactuar con una base de datos utilizando nuestro lenguaje preferido en lugar de SQL.

  • OWASP - El Open Web Application Security Project es una comunidad en línea que produce artículos, metodologías, documentación, herramientas y tecnologías de libre acceso en el campo de la seguridad de las aplicaciones web.

  • Password Salting - El salting de contraseñas es una forma de encriptación de contraseñas que consiste en añadir una contraseña a un nombre de usuario determinado y luego aplicar un hash a la nueva cadena de caracteres.

  • PCI-DSS - La Norma de Seguridad de Datos del Sector de las Tarjetas de Pago es una norma de seguridad de la información para las organizaciones que manejan tarjetas de crédito de marca de las principales redes de tarjetas. La norma PCI es un mandato de las marcas de tarjetas y está administrada por el Consejo de Normas de Seguridad del Sector de las Tarjetas de Pago.

  • Persistent - En informática, la persistencia se refiere a la característica del estado que sobrevive al proceso que lo creó. En la práctica, esto se consigue almacenando el estado como datos en el almacenamiento de datos del ordenador.

  • Pivot - Pivoteo, un exploit de seguridad informática utilizado por los hackers para utilizar un ordenador comprometido para los ataques.

  • Recursive - Reaplicar la misma fórmula o algoritmo a un número o resultado para generar el siguiente número o resultado de una serie.

  • Reflective - Inyección basada en la unión. La inyección SQL basada en la unión permite a un atacante extraer información de la base de datos ampliando los resultados devueltos por la consulta original.

  • Reflected XSS - Un XSS reflejado (o también llamado ataque XSS no persistente) es un tipo específico de XSS cuyo script malicioso rebota de otro sitio web al navegador de la víctima. Se pasa en la consulta, normalmente, en la URL. Esto hace que la explotación sea tan fácil como engañar a un usuario para que haga clic en un enlace.

  • Remote code execution - La ejecución remota de código o RCE se produce cuando un atacante aprovecha un fallo en el sistema e introduce un malware. El malware explotará la vulnerabilidad y ayudará al atacante a ejecutar códigos de forma remota.

  • SAST - Las pruebas estáticas de seguridad de aplicaciones (SAST) son un conjunto de tecnologías diseñadas para analizar el código fuente, el código de bytes y los binarios de las aplicaciones en busca de condiciones de codificación y diseño que sean indicativas de vulnerabilidades de seguridad. Las soluciones SAST analizan una aplicación desde “dentro hacia fuera” en un estado de no ejecución.

  • Segmentation - Cuando se segmenta una red informática, se está dividiendo en segmentos de red más pequeños. Esencialmente, estás separando grupos de sistemas o aplicaciones entre sí. En una red plana tradicional, todos los servidores y estaciones de trabajo están en la misma red de área local (LAN). Esto no siempre es necesario porque, en la mayoría de los casos, estos sistemas no tienen ninguna razón para hablar o “confiar” en los demás. Permitir que se comuniquen sólo da la oportunidad a un hacker de pasar de un sistema a otro o permite que un malware se propague por la red.

  • Sensitive Data Exposure - Las vulnerabilidades de exposición de datos sensibles pueden ocurrir cuando una aplicación web no protege adecuadamente la información sensible para que no sea revelada a los atacantes. Esto puede incluir información como datos de tarjetas de crédito, historial médico, tokens de sesión u otras credenciales de autenticación.

  • Session tokens - El testigo de sesión es un dato que se utiliza en las comunicaciones de red (a menudo a través de HTTP) para identificar una sesión, una serie de intercambios de mensajes relacionados.

  • Shodan - Shodan es un motor de búsqueda para encontrar dispositivos específicos, y tipos de dispositivos, que existen en línea. Las búsquedas más populares son de cosas como webcam, linksys, cisco, netgear, SCADA, etc.

  • SOAP - SOAP (abreviatura de Simple Object Access Protocol) es una especificación de protocolo de mensajería para el intercambio de información estructurada en la implementación de servicios web en redes informáticas. Su objetivo es proporcionar extensibilidad, neutralidad e independencia. Utiliza el conjunto de información XML para su formato de mensaje, y se basa en protocolos de la capa de aplicación, casi siempre el Protocolo de Transferencia de Hipertexto (HTTP) o el Protocolo Simple de Transferencia de Correo (SMTP), para la negociación y transmisión de mensajes.

  • SMTP - El Protocolo Simple de Transferencia de Correo (SMTP) es el protocolo estándar para los servicios de correo electrónico en una red TCP/IP. SMTP proporciona la capacidad de enviar y recibir mensajes de correo electrónico. SMTP es un protocolo de capa de aplicación que permite la transmisión y entrega de correo electrónico a través de Internet. SMTP ha sido creado y mantenido por el Grupo de Trabajo de Ingeniería de Internet (IETF). El Protocolo Simple de Transferencia de Correo es también conocido como RFC 821 y RFC 2821.

  • SQL - Son las siglas de Structured Query Language (lenguaje de consulta estructurado). SQL se utiliza para comunicarse con una base de datos. Según el ANSI (American National Standards Institute), es el lenguaje estándar para los sistemas de gestión de bases de datos relacionales. Las sentencias SQL se utilizan para realizar tareas como la actualización de datos en una base de datos o la recuperación de datos de una base de datos.

  • SQLi - La inyección SQL (SQLi) es un tipo de ataque de inyección que permite ejecutar sentencias SQL maliciosas. Estas sentencias controlan un servidor de base de datos detrás de una aplicación web. Los atacantes pueden utilizar las vulnerabilidades de la inyección SQL para saltarse las medidas de seguridad de la aplicación. Pueden eludir la autenticación y la autorización de una página o aplicación web y recuperar el contenido de toda la base de datos SQL. También pueden utilizar la inyección SQL para añadir, modificar y eliminar registros en la base de datos.

  • Stored XSS - El XSS almacenado, también conocido como XSS persistente, es el más dañino de los dos tipos de XSS, es decir, el almacenado y el reflejado. Se produce cuando se inyecta un script malicioso directamente en una aplicación web vulnerable.

  • UID - Un identificador único (UID) es una cadena numérica o alfanumérica que se asocia a una única entidad dentro de un sistema determinado.

  • Untrusted data - Los datos no fiables son los que controla el usuario.

  • URL - Un localizador uniforme de recursos (URL), coloquialmente denominado dirección web, es una referencia a un recurso web que especifica su ubicación en una red informática y un mecanismo para recuperarlo.

  • Whitelisting - La lista blanca es la práctica de permitir explícitamente a algunas entidades identificadas el acceso a un determinado privilegio, servicio, movilidad, acceso o reconocimiento. Es lo contrario de las listas negras.

  • XML - Especificación de una sintaxis genérica para marcar los datos con etiquetas sencillas y legibles para el ser humano, que permite la definición, transmisión, validación e interpretación de datos entre aplicaciones y entre organizaciones.

  • XML External Entities - Un ataque de entidad externa XML es un tipo de ataque contra una aplicación que analiza la entrada XML. Este ataque se produce cuando la entrada XML que contiene una referencia a una entidad externa es procesada por un analizador XML débilmente configurado. Este ataque puede conducir a la divulgación de datos confidenciales, a la denegación de servicio, a la falsificación de solicitudes del lado del servidor, al escaneo de puertos desde la perspectiva de la máquina donde se encuentra el analizador, y a otros impactos en el sistema.

  • XML parsers - El analizador XML es una biblioteca de software o un paquete que proporciona una interfaz para que las aplicaciones cliente trabajen con documentos XML. Comprueba el formato adecuado del documento XML y también puede validar los documentos XML. Los navegadores modernos tienen parsers XML incorporados.

  • XSS (Cross Site Script) - Un XSS permite a un atacante inyectar un script en el contenido de un sitio web o una aplicación. Cuando un usuario visita la página infectada, el script se ejecuta en el navegador de la víctima. Esto permite a los atacantes robar información privada como cookies, información de cuentas, o realizar operaciones personalizadas mientras suplantan la identidad de la víctima.

Happy Hacking!!! 👽

Escribe tu comentario
+ 2