Tipos de Evaluaciones y Kali Linux

  • Posted on: 18 September 2020
  • By: ReYDeS

Teniendo Kali Linux en un entorno seguro, la siguiente etapa es definir exactamente el tipo de evaluación a realizar. A un alto nivel se pueden describir cuatro tipos de evaluaciones; evaluación de vulnerabilidades, pruebas de cumplimiento, una prueba de penetración tradicional, y una evaluación de aplicación. Un contrato puede involucrar varios elementos de cada tipo de evaluación, por lo cual es importante describirlos con cierto detalle, y explicar su relevancia para la construcción de Kali Linux y su entorno.

Antes de profundizar en los diferentes tipos de evaluaciones, es importante primero anotar las diferencias entre una vulnerabilidad y un exploit. Una vulnerabilidad se define como una falla, la cual cuando es aprovechada podría comprometer la confidencialidad, integridad y disponibilidad de un sistema de información. Existe muchos tipos diferentes de vulnerabilidades los cuales pueden ser encontrados, incluyendo:

Inclusión de Archivos: Las vulnerabilidades de inclusión de archivos en las aplicaciones web, permite incluir el contenido de archivos locales o remotos dentro de la computación o programa. Por ejemplo una aplicación web puede tener una función “Mensaje del Día”, la cual lee el contenido de un archivo y lo incluye en la página web, para luego mostrarlo hacia el usuario. Cuando este tipo de funcionalidad es programado incorrectamente, puede permitir a un atacante modificar su petición web para forzar al sitio a incluir el contenido de un archivo de su elección.

Inyección SQL: Un ataque de inyección SQL es aquel donde las rutinas para la validación de entradas del programa es evadido, permitiendo a un atacante proporcionar los comandos SQL a ser ejecutados por el programa. Esta es una forma de ejecución de comandos, la cual puede conducir a potenciales problemas de seguridad.

Desbordamiento de Buffer: Un desbordamiento de buffer es una vulnerabilidad la cual evade las rutinas para la validación de entradas, para escribir datos dentro de la memoria adyacente del buffer. En algunos casos la localización de memoria adyacente puede ser crítico para la operación del programa, y puede obtenerse ejecución de código a través de una manipulación cuidadosa de los datos sobrescritos en memoria.

Condiciones de Carrera: Una condición de carrera es una vulnerabilidad la cual toma ventaja de las dependencias del tiempo en un programa. En algunos casos el flujo de trabajo de un programa depende de una secuencia específica de eventos ocurra. Si se puede alterar esta secuencia de eventos, puede conducir a una vulnerabilidad.

Un exploit de otro lado, es un software el cual cuando es utilizado, toma ventaja de una vulnerabilidad específica, aunque no todas las vulnerabilidades son explotable. Debido a un exploit debe cambiar un proceso en ejecución, forzándolo a realizar una acción no intencionada, la creación del exploit puede ser complejo. Además existen un número de tecnologías antiexploit en las plataformas modernas de computación, los cuales han sido diseñados para dificultar la explotación de vulnerabilidades, como DEP (Data Execution Prevention), y ASLR (Address Space Layout Randomization). Sin embargo el hecho no exista un exploit conocido públicamente disponible para una vulnerabilidad específica, no implica su no existencia (o pueda ser creado). Por ejemplo muchas organizaciones venden y comercializan exploits los cuales no son hechos públicos, así las vulnerabilidades deben ser tratadas como potencialmente explotables.

Fuentes:

https://en.wikipedia.org/wiki/File_inclusion_vulnerability
https://en.wikipedia.org/wiki/SQL_injection
https://en.wikipedia.org/wiki/Buffer_overflow
https://en.wikipedia.org/wiki/Race_condition
https://kali.training/downloads/Kali-Linux-Revealed-1st-edition.pdf

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1