Blogs

Prueba de Inyección HTML utilizando el Método POST

  • Posted on: 13 January 2023
  • By: ReYDeS

La inyección HTML es un tipo de vulnerabilidad de inyección producida cuando un usuario es capaz de controlar un punto de entrada, además de ser capaz de inyectar código HTML arbitrario en una página web vulnerable. Esta vulnerabilidad puede tener muchas consecuencias, como revelar cookies de sesión para un usuario, las cuales podrían utilizarse para suplantar la identidad de la víctima o, de forma más general, permitir al atacante modificar el contenido de la página visualizada por las víctimas.

Prueba de Inyección HTML

  • Posted on: 12 January 2023
  • By: ReYDeS

La inyección HTML es un tipo de vulnerabilidad de inyección producida cuando un usuario es capaz de controlar un punto de entrada, además de ser capaz de inyectar código HTML arbitrario en una página web vulnerable. Esta vulnerabilidad puede tener muchas consecuencias, como revelar cookies de sesión para un usuario, las cuales podrían utilizarse para suplantar la identidad de la víctima o, de forma más general, permitir al atacante modificar el contenido de la página visualizada por las víctimas.

Introducción a IndexedDB API

  • Posted on: 9 January 2023
  • By: ReYDeS

IndexedDB es una API de bajo nivel para el almacenamiento en lado del cliente de cantidades significativas de datos estructurados, incluyendo archivos/blobs. Esta API utiliza índices para permitir búsquedas de alto rendimiento en estos datos. Mientras el almacenamiento web (Web Storage) es útil para almacenar pequeñas cantidades de datos, no lo es tanto para almacenar grandes cantidades de datos estructurados. IndexedDB ofrece una solución.

Conceptos clave y uso

Introducción al Sistema Común para Puntuación de Vulnerabilidades v3.1

  • Posted on: 30 December 2022
  • By: ReYDeS

El Sistema Común para Puntuación de Vulnerabilidades (CVSS) captura las principales características técnicas sobre las vulnerabilidades de software, hardware y firmware. Sus resultados incluyen puntuaciones numéricas indicando la severidad de una vulnerabilidad en relación con otras vulnerabilidades.

¿Qué es el GDPR, la Nueva Ley para la Protección de Datos de la UE?

  • Posted on: 29 December 2022
  • By: ReYDeS

¿Qué es el GDPR? La nueva ley europea para privacidad y seguridad de datos incluye cientos de páginas sobre los nuevos requisitos para las organizaciones de todo el mundo. Esta descripción general del GDPR ayudará a entender la ley, además de determinar cuales partes de la misma afectan.

Almacenamiento Web (Web Storage)

  • Posted on: 31 October 2022
  • By: ReYDeS

A finales de la década de 1990, muchos sitios web se caracterizaban por ser delanteras HTML hacia bases de datos. Los sitios web modernos presumen de manejar conjuntos de datos del tamaño de petabytes, lo cual supone un crecimiento en órdenes de magnitud superior comparado con la década anterior. No hay indicios de este almacenamiento de datos centrado en la red disminuya, teniendo en consideración la "computación en la nube" y el "software como servicio".

Websockets - Consideraciones de Seguridad

  • Posted on: 27 October 2022
  • By: ReYDeS

Negación de servicio (DoS). Los navegadores web limitan el número de conexiones concurrentes hechos hacia un Origen (la página de una aplicación web puede estar constituida de recursos desde varios Orígenes). Este límite suele ser de cuatro o seis para equilibrar la capacidad de respuesta percibida por el navegador con la sobrecarga de conexión impuesta al servidor. Las conexiones WebSockets no tienen las mismas restricciones por origen. Esto no significa se haya ignorado la posibilidad de utilizar WebSockets para hacer DoS hacia un sitio.

Websockets - Trama de Datos

  • Posted on: 26 October 2022
  • By: ReYDeS

Los navegadores exponen la mínima API necesaria para JavaScript interactúe con los WebSockets, utilizando eventos como onopen, onerror, onclose, y onmessage, además de métodos como close y send. Los mecanismos para transferir los datos en crudo para las llamadas desde JavaScript hacia el tráfico de red se manejan en lo más profundo del código correspondiente al navegador. La principal preocupación desde la perspectiva de la seguridad en las aplicaciones web, es como un sitio web utiliza los WebSockets: ¿Sigue validando los datos para evitar la inyección SQL o los ataques XSS?

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero