Escolar Documentos
Profissional Documentos
Cultura Documentos
¿Qué es?
• Modificación desautorizada a los datos, o al software
instalado, incluyendo borrado de archivos.
• Son particularmente serios cuando el que lo realiza ha
obtenido derechos de Administrador o Supervisor.
• El atacante puede disparar cualquier comando y por ende
alterar o borrar cualquier información que puede incluso
terminar en la baja total del sistema.
• Aún así, si no hubo intenciones de "bajar" el sistema por parte
del atacante; el Administrador posiblemente necesite darlo de
baja por horas o días hasta chequear y tratar de recuperar
aquella información que ha sido alterada o borrada.
• Como siempre, esto puede ser realizado por Insiders o
Outsiders, generalmente con el propósito de fraude o de dejar
fuera de servicio a un competidor.
Parameter Tampering
Fases
1. El atacante captura una transacción HTTP normal de la
aplicación web. Esta captura puede ser tan sencilla como
disponer de un acceso como usuario de la aplicación web
objetivo o un poco más elaborada como la realización de un
ataque MitM.
Parameter Tampering
Fases
2. El ciberatacante modifica los parámetros de su interés en la
aplicación web, ya sea en la URL, campos ocultos en
formularios que son enviados como partes de peticiones
POST, etc.
3. Por último, realiza el envío de la petición modificada al
servidor web, esperando lograr sus objetivos.
Ejemplos
• Empleados bancarios (o externos) que crean falsas cuentas
para derivar fondos de otras cuentas, estudiantes que
modifican calificaciones de exámenes, o contribuyentes que
pagan para que se les anule una deuda impositiva.