Evaluación de tipos de client side exploits en una Red LAN como plataforma experimental

Autores/as

  • Aldrin Marcel Espí­n León Universidad Central del Ecuador
  • Daisy Astrid Valdivieso Salazar Universidad Central del Ecuador
  • Carlos Santiago Buenaño Armas Universidad Central del Ecuador

Palabras clave:

vulnerabilidades, seguridad, ingeniería social

Resumen

A pesar que las tecnologías están en constante cambio, la falta de seguridad de la información sigue siendo un factor crítico.  Los ataques a la seguridad en las organizaciones utilizando técnicas Client Side se han incrementado en los últimos años. Con el desarrollo y evolución de la ingeniería social las empresas son cada vez más vulnerables a sufrir este tipo de ataques, lo que ocasiona que el contenido que reciban no siempre sea beneficioso a sus intereses, sin darse cuenta que los usuarios internos pueden proporcionar las facilidades para que el atacante tengan éxito. Los resultados de este experimento realizado en un ambiente controlado evalúan la efectividad de los ataques efectuados y determina cómo influye la ingeniería social sobre los usuarios, puesto que dichas personas son las que contribuyen activa, pero inconscientemente con los intrusos. Haciendo una síntesis general del experimento, se demostró que los usuarios de una organización tienen mayor grado de confianza y accesibilidad a los archivos PDF que a las direcciones URL, cuando se utiliza correos electrónicos anónimos; de igual forma cuando se utiliza e-mails conocidos, los usuarios acceden de igual forma a los archivos PDF y las direcciones URL, siendo este el preferido de los atacantes.

Descargas

Los datos de descargas todavía no están disponibles.

Citas

Areitio, Javier; Areitio Ana, Test de penetración y gestión de vulnerabilidades, estrategia clave para evaluar la seguridad de red, 2009

Detecting Malicious Web Servers with Honeyclients - Mahmoud T. Qassrawi, Hongli Zhang, disponible en: http://www.ojs.academypublisher.com/index.php/jnw/article/viewFile/0601145152/2559

Sorribas, Ignacio http://es.linkedin.com/in/nachosorribas, http://www.at4sec.com

Un Informatico en el lado del mal. (11 de 2014). Recuperado el 06 de 02 de 2015, de Un Informatico en el lado del mal: http://www.elladodelmal.com/2014/11/shellshock-client-side-scripting-attack.html

Areitio, Javier Dr, ; Areitio Ana Dra., Test de penetración y gestión de vulnerabilidades, estrategia clave para evaluar la seguridad de red, tomado de http://www.redeweb.com/_txt/653/36.PDF

C. Seifert, R. Steenson, T. Holz, Y. Bing, and M. A. Davis, “Know your enemy: Malicious web servers.” The Honeynet Project, 2007, http://www.honeynet.org/papers/mws/

Automated Web Patrol with Strider HoneyMonkeys: Finding Web Sites That Exploit Browser Vulnerabilities disponible en:http://research.microsoft.com/en-us/um/redmond/projects/strider/honeymonkey/NDSS_2006_HoneyMonkey_Wang_Y_camera-ready.PDF

FLAX: Systematic Discovery of Client-side Validation Vulnerabilities in Rich Web ApplicationsPrateek Saxena§ Steve Hanna§ Pongsin Poosankam‡§ Dawn Song§ {prateeks, sch,ppoosank,dawnsong}@eecs.berkeley.edu §University of California, Berkeley ‡Carnegie Mellon University

Hossain Shahriar and Mohammad Zulkernine, “Client-Side Detection of Cross-Site Request Forgery Attacks”, 2010 IEEE 21st International Symposium on Software Reliability Engineering.

Usman Shaukat Qurashi, Zahid Anwar, “AJAX Based Attacks: Exploiting Web 2.0”, IEEE 2012.

BLADE: An Attack-Agnostic Approach for Preventing Drive-By Malware Infections Long Lu† Vinod Yegneswaran‡ Phillip Porras‡ Wenke Lee††College of Computing, Georgia Institute of Technology ‡SRI International {long, wenke}@cc.gatech.edu {vinod, porras}@csl.sri.com

PhoneyC: A Virtual Client Honeypot Jose Nazario jose@monkey.org April 1, 2009

J. Rocaspana. SHELIA: A Client HoneyPot for Client-ide Attack Detection, 2009. http://www.cs.vu.nl/˜herbertb/misc/shelia/.

Syed Imran Ahmed Qadri, Prof. Kiran Pandey, “Tag Based Client Side Detection of Content Sniffing Attacks with File Encryption and File Splitter Technique”, International Journal of Advanced Computer Research (IJACR), Volume-2, Number-3, Issue-5, September-2012.

JSand: Complete Client-Side Sandboxing of Third-Party JavaScript without Browser Modifications Pieter Agten†, Steven Van Acker†, Yoran Brondsema†, Phu H. Phung‡, Lieven Chalmers University of Technology, Gothenburg, Sweden

Timing Attacks on Web Privacy Edward W. Felten and Michael A. Schneider Secure Internet Programming Laboratory Department of Computer Science Princeton University Princeton, NJ 08544 USA

International Journal of Advanced Computer Research (ISSN (print): 2249-7277 ISSN (online): 2277-7970) Volume-3 Number-2 Issue-10 June-2013 7 Content Sniffing Attack Detection in Client and Server Side: A Survey Bhupendra Singh Thakur1, Sapna Chaudhary2

Scriptless Attacks – Stealing the Pie Without Touching the Sill Mario Heiderich, Marcus Niemietz, Felix Schuster, Thorsten Holz, Jörg Schwenk Horst Görtz Institute for IT-Security Ruhr-University Bochum, Germany

A dual approach to detect pharming attacks at the client-side Sophie Gastellier-Prevost, Gustavo Gonzalez Granadillo, and Maryline Laurent

Descargas

Publicado

2017-06-30

Cómo citar

Espí­n León, A. M., Valdivieso Salazar, D. A., & Buenaño Armas, C. S. (2017). Evaluación de tipos de client side exploits en una Red LAN como plataforma experimental. Revista Científica Retos De La Ciencia, 1(1), 20–35. Recuperado a partir de https://retosdelacienciaec.com/Revistas/index.php/retos/article/view/139

Número

Vol. 1 Núm. 1 (2017): enero-junio. Conociendo desde las Ciencias Sociales

Sección

Sección Monográfica

Licencia

Derechos de autor 2017 Aldrin Marcel Espí­n León, Daisy Astrid Valdivieso Salazar, Carlos Santiago Buenaño Armas

Creative Commons License

Esta obra está bajo una licencia internacional Creative Commons Atribución 4.0.

Los derechos del trabajo pertenecen al autor o autores, sin embargo, al enviarlo a publicación en la Revista Retos de la Ciencia, le otorgan el derecho para su primera publicación en medio electrónico, y posiblemente, en medio impreso a la Revista Retos de la Ciencia. La licencia que se utiliza es la de atribución de Creative Commons , que permite a terceros utilizar lo publicado siempre que se mencione la autoría del trabajo y a la primera publicación que es en la Revista Retos de la Ciencia. Asimismo, el o los autores tendrán en cuenta que no estará permitido enviar la publicación a ninguna otra revista, sin importar el formato. Los autores estarán en posibilidad de realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en la Revista Retos de la Ciencia (p. ej., repositorio institucional o publicación en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en la Revista Retos de la Ciencia.