Ejemplos reales de ataques a sitios web

10

Me encargaron de educar a los desarrolladores sobre la seguridad de las aplicaciones web. Una forma en que lo haré es a través de una explicación de varios ataques web (por ejemplo, OWASP top ten).

Además de una explicación del ataque y las posibles mitigaciones, me gustaría dar un ejemplo de la vida real que describe qué tipo de daño puede causar el ataque con detalles sobre cómo ocurrió el ataque.

El mejor ejemplo que he encontrado de esto es el ataque de Apache.org , pero dudo que otros lo hagan ser lo mas detallado De lo contrario, lo mejor que puedo encontrar son artículos de noticias que indiquen que un sitio fue atacado, pero sin mencionar qué fue el ataque.

¿Existen recursos para realizar un seguimiento de los detalles de ataques como este?

    
pregunta Jay Lindquist 13.11.2011 - 03:11
fuente

4 respuestas

7

Pase un poco de tiempo navegando por los archivos de una lista de correo como Disclosure completo . Encontrará ejemplos reales de varios tipos de ataques a sitios web, por ejemplo:

O navegue a través de la base de datos CVE. No todas las entradas tendrán todos los detalles, pero a menudo puede encontrar un enlace a la Divulgación completa o algún sitio similar con los detalles que está buscando. (O, en el caso de productos de código abierto, puede echar un vistazo a la fuente para ver qué se ha actualizado). Solo una búsqueda en phpmyadmin le brindará un amplio conjunto de ejemplos que tienen la ventaja de ser de código abierto y todos provienen del mismo código base:

Parece que ha habido 17 avisos para phpmyadmin en lo que va del año , por lo que es posible que su personal pueda encuentre un par más si lo asigna como una tarea durante su ejercicio de entrenamiento.

Otra categoría de recursos útiles son los sitios web de wargames como hACME game y ¡Hackear este sitio! .

    
respondido por el bstpierre 15.11.2011 - 05:22
fuente
4

Si bien esto no cubre todo. Encontré este video "Hacking: Top 5 Attacks and Defenses" que se presentó en una sesión de TechEd en Australia en 2010 y que es bueno para aumentar la comprensión de los desarrolladores. Tiene ejemplos específicos. Está dirigido a los desarrolladores de Microsoft, pero se aplica a todos.

enlace

    
respondido por el Bernie White 13.11.2011 - 23:35
fuente
3

El ataque del filtro de correo electrónico del ataque CSRF de Google es bueno para explicar CSRF. Tal vez consulte informe de violación de datos de Verizon Business ?

No creo que encuentre una sola fuente para toda la información que está buscando.

    
respondido por el Alex Lauerman 14.11.2011 - 22:39
fuente
-1

Normalmente voy a www.governmentsecurity.org para este tipo de cosas. Sé que tienen un archivo de virus, y tal vez tienen registros de los ataques que las personas han hecho en los sitios web.

    
respondido por el Jon Valentine 15.11.2011 - 03:46
fuente

Lea otras preguntas en las etiquetas