Scripting De Aplicaciones Cruzadas

Cross Application scripting (CAS) es una vulnerabilidad que afecta a las aplicaciones de escritorio que emplean un control de entrada insuficiente. Una CA permite a un atacante Introducir código para modificar el contenido de una aplicación de escritorio usada. De esta manera, los datos sensibles presentes en el sistema del usuario pueden ser robados. Los ataques a vulnerabilidades de CAS tienen efectos disruptivos porque pueden implicar el compromiso completo de los objetivos, independientemente de los sistemas operativos y las plataformas. Inicialmente descubierto por Emanuele Gentili y presentado junto con otros dos investigadores, que participaron en el estudio de la técnica y sus aplicaciones, Emanuele Acres y Alessandro Scoscia durante la Cumbre de seguridad 2010 en Milán, esta nueva categoría de ataque tuvo éxito en los productos de la conocida Casa de software comercial y de código abierto.

Al igual que las interfaces web, los frameworks modernos para la creación de aplicaciones gráficas (en este documento nos referimos específicamente a GTK y QT, los frameworks multiplataforma más importantes) permiten el uso de etiquetas dentro de muchos de sus widgets. Esto implica la posibilidad de un formato especialmente refinado para el texto contenido en objetos de tipo texto y la capacidad de representar y gestionar contenidos multimedia (imágenes, audio y vídeo) o interactivos (enlaces). Es natural que la proliferación del número de características, si no se gestiona correctamente y adecuadamente, puede hacer posibles usos no deseados de la tecnología, como la manipulación de la GUI (interfaz gráfica de usuario). Exactamente el mismo fenómeno que se logra con el uso de XSS en una página web. Es precisamente por esta razón que decidimos definir este comportamiento CAS (Cross Application Scripting). Por lo general, las aplicaciones de escritorio reciben cantidades considerables de entrada y admiten un gran número de características, ciertamente mayores que cualquier interfaz web. Esto hace que sea más complejo para el desarrollador comprobar que todos los datos de fuentes inseguras se filtran correctamente. Software vulnerable a las formas básicas de Cross application Scripting son muchos, incluyendo numerosas aplicaciones pertenecientes a fabricantes conocidos.

Como se destaca para Cross Application Scripting, Cross Application Request Forgery (CARF) es también una reproducción de la vulnerabilidad web CSRF similar en aplicaciones de escritorio. En el caso de CARF, el concepto de "enlace" y "protocolo" , heredado de la web es muy extendido, ya que involucra componentes del entorno gráfico y, en algunos casos, directamente al sistema operativo. Explotar la vulnerabilidad relacionada con el CSRF requiere cierta interacción por parte del usuario. Este problema en muchos casos no es particularmente vinculante ya que los usuarios pueden ser inducidos fácilmente a realizar ciertas acciones si la interfaz gráfica del programa se altera adecuadamente. Como se mencionó, de hecho, los cambios engañosos en la apariencia de las aplicaciones se pueden obtener con el uso de CAS. En estos contextos podemos hablar por tanto de un nuevo modo de phishing, cuyo peligro se amplifica por la falta de herramientas para la detección de este tipo de ataques fuera de la web o del correo electrónico. A diferencia de las técnicas XSS que pueden manipular y dar comandos al navegador del Usuario, a través de CAS también se puede hablar con el sistema operativo y no solo con su interfaz gráfica.

Técnicas de ataque cibernético

Hacking

Suplantación de IP

IP spoofing es el nombre que indica, en una red informática, una técnica de ataque informático que utiliza un paquete IP en el que se falsifica la dirección IP ...

Bomba de horquilla

La fork bomb es un ataque de denegación de servicio contra un ordenador que utiliza la función fork. La acción se basa en la suposición de que el número de prog...
Esta página se basa en el artículo de Wikipedia: Fuente, Autores, Licencia Creative Commons Reconocimiento-CompartirIgual.
This page is based on the Wikipedia article: Source, Authors, Creative Commons Attribution-ShareAlike License.
contactos
Política de privacidad , Descargos de responsabilidad