Un pentester experimentado, sabe que un informe bien escrito se caracteriza por el hecho de que después de su presentación el cliente no tiene ninguna pregunta adicional. Para ello, debe contener al menos cuatro secciones básicas con información para diferentes públicos. Sección 1: Información general y estadísticas Mientras que un… Continue reading →
Los ataques de inyección de código SQL implican insertar o "inyectar" consultas SQL a través de la entrada del cliente en la aplicación. Un ataque exitoso de este tipo se puede utilizar para leer información confidencial de la base de datos y modificarla o eliminarla. En los casos más extremos,… Continue reading →
XSS es un ataque que le permite inyectar y ejecutar HTML malicioso o JavaScript. Esto se puede utilizar para robar datos críticos (por ejemplo, datos de sesión) de las cookies. Como el código se ejecuta en el contexto de una aplicación vulnerable, esto le permite realizar otros ataques como phishing,… Continue reading →
Un ataque de falsificación de solicitudes entre sitios (CSRF) explota la lógica generalmente aceptada de los navegadores web para administrar una sesión de usuario en páginas abiertas. El estándar es que un usuario solo puede tener una sesión activa en la aplicación web que está usando actualmente. Cualquier pestaña recién… Continue reading →
Lavulnerabilidad de recorrido deruta de acceso se ve para ver si una aplicación web permite el acceso no autorizado a archivos o directorios a los que se debe denegar el acceso. Este tipo de ataque utiliza parámetros pasados a la aplicación que muestran las rutas de acceso a los recursos… Continue reading →
El proceso de administración de sesiones abarca una amplia gama de controles de usuario, desde la autenticación hasta la salida de la aplicación. HTTP es un protocolo sin estado, lo que significa que los servidores web responden a las solicitudes de los clientes sin establecer una conexión continua con él…. Continue reading →
El proceso de completar una sesión consiste principalmente en comprobar que el usuario de la aplicación no se puede reutilizar después de que el usuario de la aplicación cierre la sesión. También debe comprobar cómo la aplicación administra los datos almacenados en memoria. Para minimizar la cantidad de tiempo que… Continue reading →
El cambio y restablecimiento de contraseñas de aplicación es un mecanismo de autoservicio para cambiar o restablecer una contraseña para los usuarios sin la intervención del administrador. Si es débil, permite a un atacante cambiar la contraseña de cualquier usuario y así secuestrar su cuenta. Debe proteger el mecanismo de… Continue reading →
Los intentos de omitir el mecanismo de autenticidad están pensados para comprobar que es posible tener acceso a recursos no destinados al usuario de una manera no autorizada. Puede usar Burp Suite para probar estos tipos de errores,y las propias pruebas deben incluir la comprobación de lo siguiente: intente omitir… Continue reading →
La mayoría de los usuarios de aplicaciones web no siguen las recomendaciones para usar datos de acceso difíciles que no sean de diccionario. A menudo basan sus contraseñas en palabras y frases que fácilmente no olvidarán. Estas palabras son nombres de niños, direcciones de calles, equipo de fútbol favorito, lugar… Continue reading →
Cześć podróżniku!
Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...
Subscription
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)
