26. Códigoparaescribiruna nota (2) if(argc < 2) usage(argv[0], datafile);strcpy(buffer, argv[1]);printf("[DEBUG] buffer @ %p: apos;%sapos;", buffer, buffer);printf("[DEBUG] datafile @ %p: apos;%sapos;", datafile, datafile);fd = open(datafile, O_WRONLY|O_CREAT|O_APPEND, S_IRUSR|S_IWUSR);if(fd == -1)fatal("in main() while opening file");printf("[DEBUG] file descriptor is %d", fd);userid = getuid();if(write(fd, &userid, 4) == -1)fatal("in main() while writing userid to file");write(fd, "", 1); if(write(fd, buffer, strlen(buffer)) == -1)fatal("in main() while writing buffer to file");write(fd, "", 1);
27. Códigoparaescribiruna nota (3) if(close(fd) == -1)fatal("in main() while closing file");printf("Note has been saved.");free(buffer);free(datafile);}
52. Cross Site Scripting (XSS) Vulnerabilidad: Cross Site Scripting Descripción: Inyección de códigopobrementeescapadoquepermiteingresarunasentenciadirectamente en el campo URL del navegadorparamodificar la apariencia del sitio Web. Causa: Errores de validación de campos. Consecuencias: Ingeniería social, robo de identidad, phishing Soluciones: Validación de entradas.
55. Salto de autenticaciónyerroneomanejo de sesiones Vulnerabilidad: Salto de autenticaciónyerroneomanejo de sesiones Descripción: Errores en la generación, manejoydestrucciones de sesionesy tickets de transacciones. Causa: Confianza en frameworks yservidores Web. Consecuencias: Ingreso no autorizado, robo de información, robo de identidad. Soluciones: Uso de sesionesy tickets dinamicos, establecimiento de time-outs, destrucción de sesiones.
58. Referenciasinseguras a objetos Vulnerabilidad: Referenciasinseguras a objetos Descripción: Referencia a un objetointernocomo un archivo, directorio, base de datos.. Causa: Manipulación de recursos no autorizada. Consecuencias: Acceso a recursos no autorizados. Soluciones: Control de accesos a recursos.
59. Cross Site Request Forgery Vulnerabilidad: Cross Site Request Forgery (CSRF) Descripción: Ataque en el cual se forza el envio de información HTTP de un usuarioautenticadocorrectamente, como la sesióny cookies, con el fin de enviarinformaciónfalsadespueshaciendocreer a la aplicaciónque se es el usuario real. Causa: Transacciones multiples. Consecuencias: Compromiso de la aplicación. Soluciones: Uso de tickets dinamicosparatransacciones.
61. Almacenamientoinsegurode información Vulnerabilidad: Almacenamientoinseguro de información Descripción: Almacenamiento de información sin mecanismos de cifrado. Causa: Malasprácticas de resguardo de información. Consecuencias: Robo de información. Soluciones: Uso de mecanismos de cifrado.
62. Errores de restricción de URLs Vulnerabilidad: Errores de restricción de URLs Descripción: Acceso no autorizado a recursos de la aplicación Causa: Errores de autorización. Consecuencias: Robo de información, acceso no autorizado. Soluciones: Uso de matrices de autenticación.
63. Proteccióninsuficienteen la capa de transporte Vulnerabilidad: Proteccióninsuficiente en la capa de transporte Descripción: Informaciónenviada en textoclaroomediantemecanismos de cifradoreversibles Causa: Malasprácticas. Consecuencias: Robo de información, acceso no autorizado. Soluciones: Uso de HTTPS, SSH uotrosmecanismos de cifrado.
64. Proteccióninsuficienteen la capa de transporte Herramientas: Wireshark Trapper Cain EavesDrop Paros Proxy Charles Proxy Tamper Data