La creciente popularidad del software de código abierto presenta nuevos riesgos asociados con las bibliotecas vulnerables. En respuesta, las organizaciones han adoptado herramientas de seguridad adicionales, como análisis de composición de software, que escanean bibliotecas de códigos en busca de vulnerabilidades. Estas herramientas permiten a las organizaciones mitigar el riesgo antes en el ciclo de vida de […]
Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) Si estás relacionado con el mundillo de la integración continua (CI) y la entrega continua (CD), es probable que hayas escuchado o trabajado con las llamadas pruebas de seguridad de aplicaciones dinámicas (DAST), un tipo de análisis de seguridad donde la aplicación se prueba desde el exterior. De manera
BChecks, en pocas palabras, son comprobaciones de escaneo personalizadas y fáciles de usar que le permiten ampliar las capacidades de Burp Scanner de una manera rápida y sencilla. Recientemente lanzamos BChecks para Burp Suite Professional y, tras los fantásticos comentarios de la comunidad de usuarios, ahora también hemos puesto esta función a disposición de nuestros usuarios de Burp Suite Enterprise Edition.
Los códigos de respuesta rápida pueden ser muy convenientes para viajar a sitios web, descargar aplicaciones y ver menús en restaurantes, razón por la cual se han convertido en un vehículo para que los delincuentes roben credenciales, infecten dispositivos móviles e invadan sistemas corporativos. «Estamos viendo un aumento exponencial en los ataques dirigidos contra dispositivos
¿Qué es, PIVOTING? Pivotar es la técnica única de usar una instancia (también conocida como ‘planta’ o ‘punto de apoyo’) para poder moverse dentro de una red. Básicamente, usar el primer compromiso para permitir e incluso ayudar en el compromiso de otros sistemas que de otro modo serían inaccesibles. En este escenario, lo usaremos para enrutar el
El fuzzing de caja negra y las pruebas dinámicas de seguridad de aplicaciones (DAST) pueden tener muchas características similares, pero existen algunos diferenciadores. Los fuzzers de caja negra son un tipo de DAST y una parte importante del proceso continuo de pruebas de ciberseguridad. Junto con las pruebas de seguridad de aplicaciones estáticas (SAST) begin/solutions/dast/ning del desarrollo,
¿Qué es XSS basado en DOM (secuencias de comandos entre sitios)? Este artículo de seguridad web explica las secuencias de comandos entre sitios basadas en DOM utilizando ejemplos de codificación de la vida real. También aprenderá por qué los métodos de remediación XSS tradicionales no son efectivos contra XSS basado en DOM y qué puede
Directory Traversal En esta sección, explicaremos qué es el cruce de directorios, describiremos cómo llevar a cabo ataques de cruce de ruta y eludir obstáculos comunes, y detallaremos cómo prevenir las vulnerabilidades de cruce de ruta. ¿Qué es, directory traversal? El cruce de directorios (también conocido como cruce de rutas de archivos) es una vulnerabilidad
En esta sección, veremos cómo los problemas de diseño y el manejo defectuoso de los tokens web JSON (JWT) pueden hacer que los sitios web sean vulnerables a una variedad de ataques de alta gravedad. Dado que los JWT se utilizan con mayor frecuencia en la autenticación, la gestión de sesiones y los mecanismos de control de
El código de explotación ahora está disponible para una vulnerabilidad crítica de omisión de autenticación en el software GoAnywhere MFT (Managed File Transfer) de Fortra que permite a los atacantes crear nuevos usuarios administradores en instancias sin parches a través del portal de administración. GoAnywhere MFT es una herramienta de transferencia de archivos administrada basada
