En esta sección, veremos cómo los problemas de diseño y el manejo defectuoso de los tokens web JSON (JWT) pueden hacer que los sitios web sean vulnerables a una variedad de ataques de alta gravedad. Dado que los JWT se utilizan con mayor frecuencia en la autenticación, la gestión de sesiones y los mecanismos de control de […]
El código de explotación ahora está disponible para una vulnerabilidad crítica de omisión de autenticación en el software GoAnywhere MFT (Managed File Transfer) de Fortra que permite a los atacantes crear nuevos usuarios administradores en instancias sin parches a través del portal de administración. GoAnywhere MFT es una herramienta de transferencia de archivos administrada basada
La seguridad de su negocio depende no solo de su código, sino de toda la cadena de suministro, que incluye componentes de terceros. Cuantos más componentes de terceros utilice, más probable será que una vulnerabilidad en su aplicación web sea el resultado de un código de terceros, no de su programación. Los días de software como el
¿Qué es OAuth? OAuth es un marco de autorización de uso común que permite que los sitios web y las aplicaciones web soliciten acceso limitado a la cuenta de un usuario en otra aplicación. Fundamentalmente, OAuth permite al usuario otorgar este acceso sin exponer sus credenciales de inicio de sesión a la aplicación solicitante. Esto significa que
En esta sección, analizaremos qué es la inyección de plantillas del lado del servidor y describiremos la metodología básica para explotar las vulnerabilidades de inyección de plantillas del lado del servidor. También sugeriremos formas de asegurarse de que su propio uso de plantillas no lo exponga a la inyección de plantillas del lado del servidor. Esta
Vulnerabilidades basadas en DOM En esta sección, describiremos qué es DOM, explicaremos cómo el procesamiento inseguro de datos DOM puede introducir vulnerabilidades y sugeriremos cómo puede prevenir vulnerabilidades basadas en DOM en sus sitios web. ¿Qué es el DOM? El modelo de objetos de documento (DOM) es la representación jerárquica de los elementos de una
Fortinet Advisor utiliza GenAI para ayudar a que los equipos de seguridad tomen mejores decisiones, respondan rápidamente a las amenazas y ahorren tiempo incluso en las tareas más complejas. El lanzamiento inicial de Fortinet Advisor se integra perfectamente en la experiencia del usuario de los productos FortiSIEM y FortiSOAR SecOps para optimizar la investigación y
Estamos acostumbrados a que los nombres de los sitios web terminen en .com, .org, .net, etc. Pero en los últimos años han aparecido nuevas extensiones de dominio, como .aero, .club, etc., conocidos como dominios del nivel superior (TLD por sus siglas en inglés); una lista larga que recibe nuevas incorporaciones de vez en cuando. De hecho, Google anunció en mayo
En esta sección, analizaremos cómo las configuraciones incorrectas y la lógica comercial defectuosa pueden exponer los sitios web a una variedad de ataques a través del encabezado del host HTTP. Describiremos la metodología de alto nivel para identificar sitios web que son vulnerables a los ataques de encabezado de host HTTP y demostraremos cómo puede aprovechar
Reflected XSS En esta sección, explicaremos el cross-site scripting reflejado, describiremos el impacto de los ataques XSS reflejados y detallaremos cómo encontrar vulnerabilidades XSS reflejadas. ¿Qué es Reflected XSS – (cross-site scripting reflejado) El cross-site scripting (o XSS) reflejado surge cuando una aplicación recibe datos en una solicitud HTTP e incluye esos datos en la
