«Prototype Pollution» o Contaminación de Prototipos: la peligrosa y subestimada vulnerabilidad que afecta a las aplicaciones de JavaScript. A principios de 2019, los investigadores de seguridad de Snyk revelaron detalles de una vulnerabilidad grave en Lodash, una popular biblioteca de JavaScript, que permitía a los piratas informáticos atacar múltiples aplicaciones web. El agujero de seguridad era un error […]
Pruebas de seguridad de aplicaciones estáticas (SAST) El testing o prueba de código se refiere a los procesos de validación del funcionamiento del software de un programa o una aplicación. Esta herramienta se caracteriza por ofrecer una garantía de calidad del sistema, para lo que utiliza elementos como las pruebas de seguridad de aplicaciones estáticas (SAST), que analizan el código
La creciente popularidad del software de código abierto presenta nuevos riesgos asociados con las bibliotecas vulnerables. En respuesta, las organizaciones han adoptado herramientas de seguridad adicionales, como análisis de composición de software, que escanean bibliotecas de códigos en busca de vulnerabilidades. Estas herramientas permiten a las organizaciones mitigar el riesgo antes en el ciclo de vida de
Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) Si estás relacionado con el mundillo de la integración continua (CI) y la entrega continua (CD), es probable que hayas escuchado o trabajado con las llamadas pruebas de seguridad de aplicaciones dinámicas (DAST), un tipo de análisis de seguridad donde la aplicación se prueba desde el exterior. De manera
BChecks, en pocas palabras, son comprobaciones de escaneo personalizadas y fáciles de usar que le permiten ampliar las capacidades de Burp Scanner de una manera rápida y sencilla. Recientemente lanzamos BChecks para Burp Suite Professional y, tras los fantásticos comentarios de la comunidad de usuarios, ahora también hemos puesto esta función a disposición de nuestros usuarios de Burp Suite Enterprise Edition.
Los códigos de respuesta rápida pueden ser muy convenientes para viajar a sitios web, descargar aplicaciones y ver menús en restaurantes, razón por la cual se han convertido en un vehículo para que los delincuentes roben credenciales, infecten dispositivos móviles e invadan sistemas corporativos. «Estamos viendo un aumento exponencial en los ataques dirigidos contra dispositivos
¿Qué es, PIVOTING? Pivotar es la técnica única de usar una instancia (también conocida como ‘planta’ o ‘punto de apoyo’) para poder moverse dentro de una red. Básicamente, usar el primer compromiso para permitir e incluso ayudar en el compromiso de otros sistemas que de otro modo serían inaccesibles. En este escenario, lo usaremos para enrutar el
El fuzzing de caja negra y las pruebas dinámicas de seguridad de aplicaciones (DAST) pueden tener muchas características similares, pero existen algunos diferenciadores. Los fuzzers de caja negra son un tipo de DAST y una parte importante del proceso continuo de pruebas de ciberseguridad. Junto con las pruebas de seguridad de aplicaciones estáticas (SAST) begin/solutions/dast/ning del desarrollo,
¿Qué es XSS basado en DOM (secuencias de comandos entre sitios)? Este artículo de seguridad web explica las secuencias de comandos entre sitios basadas en DOM utilizando ejemplos de codificación de la vida real. También aprenderá por qué los métodos de remediación XSS tradicionales no son efectivos contra XSS basado en DOM y qué puede
Directory Traversal En esta sección, explicaremos qué es el cruce de directorios, describiremos cómo llevar a cabo ataques de cruce de ruta y eludir obstáculos comunes, y detallaremos cómo prevenir las vulnerabilidades de cruce de ruta. ¿Qué es, directory traversal? El cruce de directorios (también conocido como cruce de rutas de archivos) es una vulnerabilidad
