Existe mucho a abarcar antes de empezar a utilizar herramientas específicas, además de como configurar y ejecutarlas para cumplir los requerimientos para la explotación de aplicaciones web. Para tener un sólido fundamento son necesarios muchos años de práctica, estos son principios fundamentales los cuales se necesitan completamente entender y comprender. Estos fundamentos incluyen material relacionado a la mayoría de vulnerabilidades comunes, las cuales continúan plagando la web, aunque incluso algunos de ellos han estado allí por años. Algunas de las vulnerabilidades más dañinas en aplicaciones web, se han diseminado ampliamente, y siguen causando daño muchos años después de haberse descubierto.

Es importante también entender el momento y lugar para el uso ético y apropiado de las herramientas y técnicas las cuales se aprenden. Es importante entonces preparar un entorno aislado para experimentar todo lo concerniente al Hacking Web.

Como la seguridad se ha movido más hacia la delantera de la gestión tecnológica, la seguridad global de los servidores, redes, y servicios ha mejorado enormemente. Esto es en gran parte debido a la mejora de productos como firewalls y sistemas para la detección de intrusiones, los cuales aseguran la capa de red. Sin embargo, estos dispositivos hacen poco protegiendo la aplicación web y los datos utilizados por la aplicación web. Como resultados de esto, los atacantes maliciosos se han desplazado para atacar las aplicaciones web, las cuales interactúan directamente con todos los sistemas internos, como servidores de base de datos, las cuales son protegidos por firewalls u otros dispositivos de red.

En los recientes años se ha puesto más énfasis en el desarrollo seguro de software, y como resultado, las aplicaciones web actuales son más seguras comparadas a las versiones anteriores. Ha habido un fuerte impulso para incluir la seguridad en el ciclo de vida para el desarrollo del software, y para formalizar la especificación de estos requisitos de una manera estandarizada También ha habido un alto incremento en la organización de muchos grupos comunitarios dedicados a la seguridad de aplicaciones, como el Proyecto Abierto de Seguridad para Aplicaciones Web (OWASP). De hecho aún existen aplicaciones web vulnerables por naturaleza, principalmente debido porque los programados están más preocupados en la funcionalidad que en la seguridad, aunque los días de explotación fácil de aparentemente todas las aplicaciones web ha terminado.

Por lo tanto, debido a la seguridad de las aplicaciones web ha mejorado al igual que la red, la superficie de ataque nuevamente se ha desplazado, esta vez para atacar a los usuarios web. Es muy poco lo cual los administradores de la red o programadores web pueden hacer para proteger a los usuarios web de estos ataques usuario sobre usuario, los cuales prevalecen más en la actualidad. Imaginar la alegría de un atacante malicioso, pues ahora puede apuntar a un usuario desprevenido, sin deber preocuparse por sistemas para la detección de intrusiones, o registros para los eventos de la aplicación web, y firewalls para aplicaciones web. Los atacantes maliciosos ahora se enfocan directamente en los usuarios web, eludiendo de manera efectiva todas y cada una de las salvaguardas desarrolladas en los últimos años, tanto para redes cuanto para aplicaciones web.

Sin embargo, aún existen muchos ataques viables dirigidos contra servidores web y aplicaciones web, además de los ataques a los usuarios web. Lo importante en comprender como todos estos ataques explotan un servidor web, aplicación web o usuario web, conocimiento como se realizan estos ataques y las herramientas a utilizar.

Fuentes:

https://www.owasp.org/index.php/Main_Page