Cross-Site Scripting
Las vulnerabilidades a técnicas XSS (Cross-Site Scripting) permiten a terceras partes manipular el contenido o el comportamiento de una aplicación Web dentro del navegador del usuario, sin atacar el propio sistema donde se ejecuta.
Otras vulnerabilidades a técnicas XSS son también clasificadas dentro de esta categoría: "inserción de código" y ataques CSRF (cross-site request forgery, suplantación de consultas Web).
Las vulnerabilidades a técnicas XSS son a menudo utilizadas contra determinados usuarios de un sitio Web para robarle sus credenciales o suplantar su identidad (spoofing).
Revelación de datos sensibles
Son vulnerabilidades en las que se producen fugas de documentos o credenciales, que pueden ser revelados en local o en remoto.
Manipulaciones de datos
Incluyen vulnerabilidades en las que un usuario o un atacante remoto puede manipular los datos locales del sistema, sin conseguir necesariamente una escalada de privilegios ni tener acceso al sistema.
El tipo más frecuente de vulnerabilidades con este impacto son las vulnerabilidades por infiltración SQL, en las que un usuario malintencioado o una persona manipulan las consultas SQL.
Puenteos (Security Bypass)
Son vulnerabilidades relacionados con problemas de seguridad provocados por usuarios malintencionados o individuos que consiguen saltarse determinados mecanismos de seguridad de la aplicación.
El impacto real varía significativamente en función del diseño y del objeto de la aplicación afectada.
|
