http://wiki.tempwin.net/ 2026-05-09T13:51:49+00:00 http://wiki.tempwin.net/ http://wiki.tempwin.net/_media/wiki/dokuwiki.svg text/html 2024-03-12T14:56:32+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/canal_comunicaciones?rev=1710255392&do=diff Canal de comunicaciones Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web HTTP vs HTTPS HTTP En sus inicios, el protocolo HTTP no estaba diseñado para “securizar” los datos. Simplemente era un protocolo para intercambiar datos entre un cliente y un servidor. * Datos enviados en texto claro. text/html 2024-03-25T14:35:09+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/clickjacking?rev=1711377309&do=diff Clickjacking Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web Superposición de un elemento iframe sobre otro con el fin de “capturar” el click del usuario sin que este sea consciente con el fin de provocar una acción no deseada por parte del usuario. Impacto * Acciones indeseadas por parte del usuario. Requiere su interacción. text/html 2024-03-11T12:37:58+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/conceptos_basicos?rev=1710160678&do=diff Conceptos básicos Notas pertenecientes al curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web Aplicaciones web Se denomina aplicación web a aquellas herramientas que los usuarios pueden utilizar accediendo a un servidor web a través de Internet mediante un navegador. Estas aplicaciones no necesitan ser instaladas, sino que los datos y/o archivos con los que se trabajan son procesados y almacenados dentro de la web. text/html 2024-03-25T13:13:32+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/csrf?rev=1711372412&do=diff Cross-Site Request Forgery (CSRF) Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web La vulnerabilidad de CSRF, conocida como falsificación de petición en sitios cruzados, consiste en engañar a un usuario legítimo (que esté identificado en la aplicación) para que ejecute peticiones/acciones sin su consentimiento (no sabe que esas peticiones se están realizando desde su usuario). text/html 2024-03-12T10:07:22+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/estructura_web?rev=1710238042&do=diff Estructura de la web Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web Archivos por defecto Proporcionan información sobre directorios y subdirectorios de la web así como la tecnología utilizada. Ejemplos: * Robots.txt * Sitemap.xml * Humans.txt * Security.txt Robots.txt text/html 2024-03-13T09:12:35+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/gestion_identidades?rev=1710321155&do=diff Gestión de identidades Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web Conceptos básicos * Autenticación: proceso que permite a un usuario de un sitio web u otro servicio similar verificar que es quien dice ser. * Autorización: Proceso que permite verificar si un usuario que solicita un recurso o acceso cumple con los criterios necesarios. text/html 2024-03-25T16:18:29+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/herramientas_automaticas?rev=1711383509&do=diff Vulnerabilidades web: Herramientas automáticas Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web Nos referimos a escáneres de vulnerabilidades web, a los que proporcionándoles únicamente la URL de la aplicación, se encargan de forma automática de rastrear la aplicación en busca de vulnerabilidades. text/html 2024-03-25T15:59:08+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/logica_negocio?rev=1711382348&do=diff Vulnerabilidades web: Lógica de negocio Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web Pruebas más sofisticadas que requieren think outside the box, es decir darle vueltas a las funcionalidades de la aplicación y buscar métodos no convencionales para detectar vulnerabilidades. text/html 2024-03-11T13:37:36+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/owasp_top_10?rev=1710164256&do=diff OWASP Top 10 Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web OWASP OWASP son las siglas de Open Web ApplicationSecurity Project. Organización sin ánimo de lucro creada con el objetivo de fomentar la seguridad del software. Inicialmente centrada en la seguridad en aplicaciones web, pero a día de hoy también abarca: text/html 2024-03-11T13:14:09+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/tipos_y_fases_auditoria?rev=1710162849&do=diff Tipos y fases de una auditoría Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web Tipos de auditoría Diferentes tipos de auditoría, dependiendo del objetivo de la organización. Caja Negra Caja Gris Caja Blanca Objetivo text/html 2024-03-14T14:36:48+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/vulnerabilidades_web_conceptos_previos?rev=1710427008&do=diff Explotando vulnerabilidades web: Conceptos básicos Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web «All input is evil until proven otherwise. That’s rule number one.». Michael Howard y David LeBlanc (Writing Secure Code) Todo lo que nos encontremos en una web que nos permita inyectar cualquier cadena sin restricción, puede desembocar en la explotación de una vulnerabilidad text/html 2024-03-25T12:34:43+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.tempwin.net/informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/vulnerabilidades_web_validaciones_de_datos?rev=1711370083&do=diff Explotando vulnerabilidades web: Validación de datos Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web Se usa Kali Linux para realizar las prácticas y una máquina virtual Ubuntu con una aplicación vulnerable instalada (DVWA). Tanto la máquina con Kali Linux como la que tiene la aplicación web vulnerable deben estar en la misma red para poder acceder de una a otra.