¿Cuáles serían los buenos recursos para realizar el Análisis de impacto técnico?

1

Como investigación continua en el desarrollo de software seguro, encontré el impacto técnico de la lista de los 10 principales proyectos de OWASP, tales como:

enlace

Del mismo modo, el impacto de la lista de CAPEC en términos de la CIA: enlace

Para obtener más detalles sobre los impactos técnicos de varias amenazas, ¿existen recursos que ofrezcan un análisis detallado que incluya posibles estudios de casos?

    
pregunta Epoch Win 05.03.2012 - 16:36
fuente

1 respuesta

1

Esta pregunta es demasiado amplia, ya que la respuesta dependerá de la vulnerabilidad / ataque en particular. Casi cualquier descripción de una vulnerabilidad o ataque describirá su impacto potencial (= impacto técnico, en la terminología de OWASP). Por lo tanto, si hay una vulnerabilidad en particular que desea conocer, debería poder leer cualquier manual sobre esa vulnerabilidad y obtener más información sobre el impacto (técnico) de la vulnerabilidad.

Por ejemplo, las vulnerabilidades de desbordamiento de búfer permiten la inyección de código, por lo que permiten al atacante inyectar código malicioso en el programa vulnerable y ejecutarlo con todos los privilegios del programa. Las vulnerabilidades de inyección de SQL permiten al atacante ejecutar consultas SQL arbitrarias (y, por lo tanto, leer o escribir en la base de datos) y posiblemente, dependiendo de cómo esté configurada la base de datos, ejecute código malicioso con todos los privilegios del programa de la base de datos. Y así sucesivamente.

    
respondido por el D.W. 05.03.2012 - 19:43
fuente

Lea otras preguntas en las etiquetas