Ataques y amenazas
Envenenamiento de cookies
Definición
Ataque que modifica el contenido de las cookies HTTP antes de devolverlas a una aplicación web para alterar decisiones de confianza, identidad o lógica de negocio.
Ejemplos
- Un usuario cambia la cookie role=user a role=admin y accede a páginas administrativas porque el servidor no verifica la integridad.
- Una tienda guarda el precio en cookie; el atacante lo modifica antes del pago y paga un céntimo por el artículo.
Términos relacionados
Secuestro de cookies
Robo y reutilización de cookies HTTP de un usuario —normalmente de sesión o autenticación— para suplantarlo ante una aplicación web.
Secuestro de sesión
Ataque que toma el control de la sesión autenticada de una víctima robando o falsificando su identificador de sesión, para actuar como el usuario sin sus credenciales.
Manipulación de parámetros
Ataque en el que el adversario modifica parámetros de peticiones HTTP, cookies o campos ocultos para manipular el comportamiento de la aplicación.
Control de acceso roto
Clase de vulnerabilidades en la que las reglas de autorización faltan o se aplican mal, permitiendo a los usuarios acciones o datos fuera de sus privilegios.
Cross-Site Scripting (XSS)
Vulnerabilidad web que permite a un atacante inyectar scripts maliciosos en páginas vistas por otros usuarios, ejecutándose en el navegador de la víctima bajo el origen del sitio.
Session Management
Session Management — definition coming soon.