En esta sección, analizaremos qué es la inyección de plantillas del lado del servidor y describiremos la metodología básica para explotar las vulnerabilidades de inyección de plantillas del lado del servidor. También sugeriremos formas de asegurarse de que su propio uso de plantillas no lo exponga a la inyección de plantillas del lado del servidor. Esta […]
Vulnerabilidades basadas en DOM En esta sección, describiremos qué es DOM, explicaremos cómo el procesamiento inseguro de datos DOM puede introducir vulnerabilidades y sugeriremos cómo puede prevenir vulnerabilidades basadas en DOM en sus sitios web. ¿Qué es el DOM? El modelo de objetos de documento (DOM) es la representación jerárquica de los elementos de una
En esta sección, analizaremos cómo las configuraciones incorrectas y la lógica comercial defectuosa pueden exponer los sitios web a una variedad de ataques a través del encabezado del host HTTP. Describiremos la metodología de alto nivel para identificar sitios web que son vulnerables a los ataques de encabezado de host HTTP y demostraremos cómo puede aprovechar
Reflected XSS En esta sección, explicaremos el cross-site scripting reflejado, describiremos el impacto de los ataques XSS reflejados y detallaremos cómo encontrar vulnerabilidades XSS reflejadas. ¿Qué es Reflected XSS – (cross-site scripting reflejado) El cross-site scripting (o XSS) reflejado surge cuando una aplicación recibe datos en una solicitud HTTP e incluye esos datos en la
El Advanced Encryption Standard, abreviado AES, se usa con el fin de cifrar datos y de protegerlos contra cualquier acceso ilícito. El método criptográfico emplea para este objetivo una clave de longitud variada y se denomina según la longitud de clave usada AES-128, AES-192 o AES-256. Originalmente, este método fue impulsado por el instituto norteamericano
Pruebas de seguridad de aplicaciones fuera de banda (OAST) ¿Qué son las pruebas de seguridad OAST? Las pruebas de seguridad de aplicaciones fuera de banda (OAST) utilizan servidores externos para ver vulnerabilidades que de otro modo serían invisibles. Se introdujo para mejorar aún más el modelo DAST ( pruebas dinámicas de seguridad de aplicaciones ). PortSwigger fue pionero en OAST con Burp Collaborator. Esto
Falsificación de solicitud entre sitios (CSRF) En esta sección, explicaremos qué es la falsificación de solicitudes entre sitios, describiremos algunos ejemplos de vulnerabilidades CSRF comunes y explicaremos cómo prevenir los ataques CSRF. ¿Qué es CSRF? La falsificación de solicitudes entre sitios (también conocida como CSRF) es una vulnerabilidad de seguridad web que permite a un
Secuencias de comandos entre sitios En esta sección, explicaremos qué son las secuencias de comandos entre sitios, describiremos las diferentes variedades de vulnerabilidades de las secuencias de comandos entre sitios y detallaremos cómo encontrar y prevenir las secuencias de comandos entre sitios. ¿Qué son las secuencias de comandos entre sitios (XSS)? Cross-site scripting (también conocido
XSS almacenado En esta sección, explicaremos las secuencias de comandos entre sitios almacenadas, describiremos el impacto de los ataques XSS almacenados y detallaremos cómo encontrar vulnerabilidades XSS almacenadas. ¿Qué es Stored Cross-Site Scripting? Las secuencias de comandos entre sitios almacenadas (también conocidas como XSS persistentes o de segundo orden) surgen cuando una aplicación recibe datos
En esta sección, explicaremos qué es la inyección de entidades externas XML, describiremos algunos ejemplos comunes, explicaremos cómo encontrar y explotar varios tipos de inyección XXE y resumiremos cómo prevenir los ataques de inyección XXE ¿Qué es la inyección de entidad externa XML? La inyección de entidad externa XML (también conocida como XXE) es una
