CODE INJECTION ( INYECCION DE

CODIGO)
POR : GIOVANNI GARIBAY ORTIZ
JULIO CESAR GUTIERREZ BANDERAS

Inyeccin de cdigo
Un defecto de inyeccin de cdigo ocurre cuando es posible
enviar datos inesperados a un intrprete. Estos son muy
comunes en cdigo antiguo. Se encuentran frecuentemente en
consultas SQL, LDAP, Xpath o NoSQL; comandos de sistema
operativo; analizadores sintcticos de XML; cabeceras SMTP;
parmetros de funciones; etc. Estos defectos son fciles de
encontrar cuando se examina el cdigo, sin embargo son difciles
de descubrir mediante pruebas funcionales

Este tipo de ataques pueden ser usados con objetivos malintencionados para
muchas cosas, incluyendo:

Modificar valores arbitrariamente en una base de datos mediante inyeccin

de SQL. El impacto de esta accin puede ir desde cambios en la apariencia
de una pgina web hasta comprometer datos sensibles.
Instalar malware o ejecutar cdigo malintencionado en un servidor mediante
la inyeccin de cdigo de scripting (como PHP o ASP).

Aumentar los privilegios como superusuario utilizando vulnerabilidades del

sistema operativo.
Atacando usuarios de pginas web con inyecciones de cdigo HTML
o scripts.

Cross-site scripting
XSS, del ingls Cross-site scripting es un tipo de inseguridad
informtica o agujero de seguridad tpico de las aplicaciones Web,
que permite a una tercera parte inyectar en pginas web vistas por el
usuario cdigo JavaScript o en otro lenguaje script similar (ej:
VBScript), evitando medidas de control como la Poltica del mismo
origen. Este tipo de vulnerabilidad se conoce en espaol con el
nombre de Secuencias de comandos en sitios cruzados

Esta vulnerabilidad puede estar presente de las siguientes formas:

Directa (tambin llamada Persistente): este tipo de XSS
comnmente filtrado, y consiste en embeber cdigo HTML peligroso
en sitios que lo permitan; incluyendo as etiquetas como <script> o
<iframe>.
Indirecta (tambin llamada Reflejada): este tipo de XSS consiste en
modificar valores que la aplicacin web utiliza para pasar variables
entre dos pginas, sin usar sesiones y sucede cuando hay un
mensaje o una ruta en la URL del navegador, en una cookie, o
cualquier otra cabecera HTTP (en algunos navegadores y
aplicaciones web, esto podra extenderse al DOM del navegador).

HTML Injection
La inyeccin de HTML es una de las tcnicas de Defacing, consiste
en inyectar, mediante un formulario, cdigo html con el fin de que se
ejecute y se produsca un efecto "anormal" en la pgina.
Debe quedar claro que cualquier tcnica de Defacing es una falta de
tica, ningn webmaster merece que su sitio web sea modificado;
adems de que en varios pases se considera un acto ilegal.