La seguridad de su negocio depende no solo de su código, sino de toda la cadena de suministro, que incluye componentes de terceros. Cuantos más componentes de terceros utilice, más probable será que una vulnerabilidad en su aplicación web sea el resultado de un código de terceros, no de su programación. Los días de software como el […]
¿Qué es OAuth? OAuth es un marco de autorización de uso común que permite que los sitios web y las aplicaciones web soliciten acceso limitado a la cuenta de un usuario en otra aplicación. Fundamentalmente, OAuth permite al usuario otorgar este acceso sin exponer sus credenciales de inicio de sesión a la aplicación solicitante. Esto significa que
En esta sección, analizaremos qué es la inyección de plantillas del lado del servidor y describiremos la metodología básica para explotar las vulnerabilidades de inyección de plantillas del lado del servidor. También sugeriremos formas de asegurarse de que su propio uso de plantillas no lo exponga a la inyección de plantillas del lado del servidor. Esta
Vulnerabilidades basadas en DOM En esta sección, describiremos qué es DOM, explicaremos cómo el procesamiento inseguro de datos DOM puede introducir vulnerabilidades y sugeriremos cómo puede prevenir vulnerabilidades basadas en DOM en sus sitios web. ¿Qué es el DOM? El modelo de objetos de documento (DOM) es la representación jerárquica de los elementos de una
Fortinet Advisor utiliza GenAI para ayudar a que los equipos de seguridad tomen mejores decisiones, respondan rápidamente a las amenazas y ahorren tiempo incluso en las tareas más complejas. El lanzamiento inicial de Fortinet Advisor se integra perfectamente en la experiencia del usuario de los productos FortiSIEM y FortiSOAR SecOps para optimizar la investigación y
Estamos acostumbrados a que los nombres de los sitios web terminen en .com, .org, .net, etc. Pero en los últimos años han aparecido nuevas extensiones de dominio, como .aero, .club, etc., conocidos como dominios del nivel superior (TLD por sus siglas en inglés); una lista larga que recibe nuevas incorporaciones de vez en cuando. De hecho, Google anunció en mayo
En esta sección, analizaremos cómo las configuraciones incorrectas y la lógica comercial defectuosa pueden exponer los sitios web a una variedad de ataques a través del encabezado del host HTTP. Describiremos la metodología de alto nivel para identificar sitios web que son vulnerables a los ataques de encabezado de host HTTP y demostraremos cómo puede aprovechar
Reflected XSS En esta sección, explicaremos el cross-site scripting reflejado, describiremos el impacto de los ataques XSS reflejados y detallaremos cómo encontrar vulnerabilidades XSS reflejadas. ¿Qué es Reflected XSS – (cross-site scripting reflejado) El cross-site scripting (o XSS) reflejado surge cuando una aplicación recibe datos en una solicitud HTTP e incluye esos datos en la
Pruebas de seguridad de aplicaciones fuera de banda (OAST) ¿Qué son las pruebas de seguridad OAST? Las pruebas de seguridad de aplicaciones fuera de banda (OAST) utilizan servidores externos para ver vulnerabilidades que de otro modo serían invisibles. Se introdujo para mejorar aún más el modelo DAST ( pruebas dinámicas de seguridad de aplicaciones ). PortSwigger fue pionero en OAST con Burp Collaborator. Esto
Falsificación de solicitud entre sitios (CSRF) En esta sección, explicaremos qué es la falsificación de solicitudes entre sitios, describiremos algunos ejemplos de vulnerabilidades CSRF comunes y explicaremos cómo prevenir los ataques CSRF. ¿Qué es CSRF? La falsificación de solicitudes entre sitios (también conocida como CSRF) es una vulnerabilidad de seguridad web que permite a un
