Un desbordamiento de buffer (buffer overflow) es un error de software que se produce

cuando un programa no controla la cantidad de datos que se copian en buffer, de forma

que si esa cantidad es superior a la capacidad del buffer los bytes sobrantes se almacenan
en zonas de memoria adyacentes, sobrescribiendo su contenido original. Se puede
aprovechar para ejecutar cdigo que nos de privilegios de administrador.
Un directory traversal (o path traversal) consiste en explotar una vulnerabilidad
informtica que ocurre cuando no existe suficiente seguridad en cuanto a la validacin de
un usuario, permitindole acceder a cualquier tipo de directorio superior (padre) sin ningn
control.
La finalidad de este ataque es ordenar a la aplicacin a acceder a un archivo al que no
debera poder acceder o no debera ser accesible. Este ataque se basa en la falta de
seguridad en el cdigo. El software est actuando exactamente como debe actuar y en
este caso el atacante no est aprovechando un bug en el cdigo.

El explotado de Format String ocurre cuando los datos enviados desde una entrada de texto
son evaluados como un comando para la aplicacin. En este caso, el atacante podra ejecutar
cdigo, leer la pila, o causar una violacin de segmento en la aplicacin. causando nuevos
comportamientos que podrian comprometer la seguridad o la estabilidad del sistema.
El ataque podra ser ejecutado cuando la aplicacin no valida apropiadamente las entradas
enviadas. En este caso, si un parmetro de Format String , como %x, es insertado dentro de
un dato enviado, la cadena es procesada por la Format Function (Funcin de Formato), y la
conversin especificada en el parmetro es ejecutada. Sin embargo, la Funcin de Formato
est esperando mas argumentos como entrada, y si esos argumentos no son suministrados, la
funcin podra leer o escribir en la pila.

Claves por defecto. Vulnerabilidad o defecto de fbrica consiste en que, si

observamos fsicamente los routers en la parte inferior, traen consigo una etiqueta
donde esta el nombre del SSID por defecto y sus correspondientes claves WEP y
WPA, que vienen siendo las mismas.
Resulta que conociendo estos caracteres hexadecimales, utilizando ingenieria reversa,
se puede llegar a obtener la clave WEP por default. Existe un programa desarrollado
en C, creado por l que hizo este estudio, el cual pueden encontrar en varios sitios:
Errores de configuracin
Las vulnerabilidades provienen de los errores en las aplicaciones de
software o de los activos configurados incorrectamente; son
defectos inherentes del software o configuraciones incorrectas del
sistema que permiten que los cdigos maliciosos comprometan a
un activo. Si se explotan, las vulnerabilidades pueden generar, de
mltiples maneras, un impacto en las organizaciones: desde perjudicar la
continuidad de los negocios hasta afectar la confianza de los clientes.
Los errores de configuracin tambin pueden crear vulnerabilidades en los
activos de informacin. Por ejemplo, muchos clientes de correo electrnico
admiten mensajes de correo electrnico con formato HTML, incluyendo
cadenas. Los creadores de virus han aprovechado estas caractersticas para
ofrecer su carga til. Un cambio en los parmetros de configuracin de

cliente de correo electrnico puede prevenir este tipo de artificio. Otros

aspectos de configuracin son ms complejos.

Cuando intenta instalar actualizaciones de Windows, obtendr el

siguiente error:
Error al configurar las actualizaciones de Windows. Anulacin de los
cambios. No apague el equipo.
Nota: si se produce este problema, puede tardar unos 30 minutos para
revertir los cambios y, a continuacin, el sistema mostrar la pantalla de
inicio de sesin de Windows.

Vulnerabilidades de condicin de carrera (race condition).

La condicin de carrera se da principalmente cuando varios procesos acceden al mismo tiempo a un

recurso compartido, por ejemplo una variable, cambiando su estado y obteniendo de esta forma un valor
no esperado de la misma.

Vulnerabilidades de Inyeccin SQL.

Una inyeccin SQL se produce cuando, de alguna manera, se inserta o "inyecta" cdigo SQL invasor
dentro del cdigo SQL programado, a fin de alterar el funcionamiento normal del programa y lograr as
que se ejecute la porcin de cdigo "invasor" incrustado, en la base de datos.

Vulnerabilidades de denegacin del servicio.

La denegacin de servicio provoca que un servicio o recurso sea inaccesible a los usuarios legtimos.
Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red
de la vctima o sobrecarga de los recursos informticos del sistema de la vctima.

Vulnerabilidades de ventanas engaosas (Window Spoofing).

Las ventanas engaosas son aquellas que dicen que eres el ganador de tal o cual cosa, lo cual es mentira
y lo nico que quieren es que des informacin. Hay otro tipo de ventanas que, si las sigues, obtienen
datos del ordenador para luego realizar un ataque.

Vulnerabilidades de Cross Site Scripting (XSS).

Abarcaban cualquier ataque que permitiera ejecutar scripts como VBScript o JavaScript, en el contexto de
otro sitio web. Estos errores se pueden encontrar en cualquier aplicacin que tenga como objetivo final
presentar la informacin en un navegador web.
Un uso de esta vulnerabilidad es hacer phishing. La vctima ve en la barra de direcciones un sitio, pero
realmente est en otro. La vctima introduce su contrasea y se la enva al atacante.

Vulnerabilidad del da cero

Cuando no exista una solucin conocida para una vulnerabilidad, pero si se conoce como
explotarla, entonces se le conoce como vulnerabilidad 0 days.

http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/vul
nerabilidades_de_un_sistema_informtico.html