Cross-site scripting

XSS, del ingls Cross-site scripting es un tipo de inseguridad informtica o agujero de

seguridad tpico de las aplicaciones Web, que permite a una tercera persona inyectar en
pginas web visitadas por el usuario cdigo JavaScript o en otro lenguaje similar, evitando
medidas de control como la Poltica del mismo origen. Este tipo de vulnerabilidad se
conoce en espaol con el nombre de Secuencias de rdenes en sitios cruzados.

XSS es un vector de ataque que puede ser utilizado para robar informacin delicada,
secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad
del sistema. Las vulnerabilidades XSS han existido desde los primeros das de la Web.
Esta situacin es usualmente causada al no validar correctamente los datos de entrada
que son usados en cierta aplicacin, o no sanear la salida adecuadamente para su
presentacin como pgina web.

SQL Inyection

Inyeccin SQL es un mtodo de infiltracin de cdigo intruso que se vale de

una vulnerabilidad informtica presente en una aplicacin en el nivel de validacin de las
entradas para realizar operaciones sobre una base de datos.
El origen de la vulnerabilidad radica en el incorrecto chequeo o filtrado de las variables
utilizadas en un programa que contiene, o bien genera, cdigo SQL. Es, de hecho, un error
de una clase ms general de vulnerabilidades que puede ocurrir en cualquier lenguaje de
programacin o script que est embebido dentro de otro.
Se conoce como Inyeccin SQL, indistintamente, al tipo de vulnerabilidad, al mtodo de
infiltracin, al hecho de incrustar cdigo SQL intruso y a la porcin de cdigo incrustado.
Penetration testing
Una 'prueba de penetracin' , o "pentest", es un ataque a un sistema informtico con la
intencin de encontrar las debilidades de seguridad y todo lo que podra tener acceso a
ella, su funcionalidad y datos.
El proceso consiste en identificar el o los sistemas del objetivo. Las pruebas de
penetracin pueden hacerse sobre una "caja blanca" (donde se ofrece toda la informacin
de fondo y de sistema) o caja negra (donde no se proporciona informacin, excepto el
nombre de la empresa ). Una prueba de penetracin puede ayudar a determinar si un
sistema es vulnerable a los ataques, si las defensas (si las hay) son suficientes y no fueron
vencidas.
Los problemas de seguridad descubiertos a travs de la prueba de penetracin deben
notificarse al propietario del sistema. Con los resultados de las pruebas de penetracin
podremos evaluar los impactos potenciales a la organizacin y sugerir medidas para
reducir los riesgos
Las pruebas de penetracin son valiosas por varias razones:

1. Determinar la posibilidad de xito de un ataque.

2. Identificacin de vulnerabilidades de alto riesgo que resultan de una combinacin
de vulnerabilidades de menor riesgo explotadas en una secuencia particular.
3. Identificacin de vulnerabilidades que pueden ser difciles o imposibles de detectar
con red automatizada o un software de anlisis de vulnerabilidades.
4. Comprobar la capacidad de los defensores de la red para detectar con xito y
responder a los ataques.

Exploit
Exploit (del ingls exploit, "explotar" o aprovechar) es un fragmento de software,
fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de
aprovechar una vulnerabilidad de seguridad de un sistema de informacin para conseguir
un comportamiento no deseado del mismo. Ejemplos de comportamiento errneo:
Acceso de forma no autorizada, toma de control de un sistema de cmputo, consecucin
privilegios no concedidos lcitamente, consecucin de ataques de denegacin de servicio.
Hay que observar que el trmino no se circunscribe a piezas de software, por ejemplo
cuando lanzamos un ataque de ingeniera social, el ardid o discurso que preparamos para
convencer a la vctima tambin se considera un exploit. Y poder as capturar cierta
informacin de la vctima a travs de este tipo de ataque.
Los exploits pueden tomar forma en distintos tipos de software, como por
ejemplo scripts, virus informticos o gusanos informticos.