book

Seguridad de las aplicaciones web

by Andrew Hoffman

October 2024

Intermediate to advanced

330 pages

8h 53m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Conocimientos previos y objetivos de aprendizajeAntecedentes sugeridosCompetencias mínimas requeridas¿Quién se beneficia más de la lectura de este libro?Ingenieros de software y desarrolladores de aplicaciones webObjetivos generales de aprendizajeIngenieros de seguridad, Pen Testers y Bug Bounty Hunters¿Cómo está organizado este libro?ReconOfensaDefensaLengua y terminologíaResumenConvenciones utilizadas en este libroAprendizaje en línea O'ReillyCómo contactar con nosotros
Los orígenes del pirateo informáticoLa máquina Enigma, circa 1930Descifrado automatizado del código Enigma, circa 1940Presentamos la "Bomba"Teléfono "Phreaking", circa 1950Tecnología antifractura, circa 1960Los orígenes del pirateo informático, hacia 1980El auge de la World Wide Web, circa 2000Hackers en la Era Moderna, Circa 2015+Resumen
Recogida de informaciónMapeo de aplicaciones webResumen
Aplicaciones web modernas frente a heredadasAPI RESTNotación de objetos de JavaScriptJavaScriptVariables y ámbito de aplicaciónFuncionesContextoHerencia prototípicaAsincroníaDOM del navegadorMarcos SPASistemas de autenticación y autorizaciónAutenticaciónAutorizaciónServidores webBases de datos del lado del servidorAlmacenes de datos del lado del clienteResumen
Múltiples aplicaciones por dominioLas herramientas de análisis de red integradas en el navegadorAprovechar los Registros PúblicosCachés de los buscadoresArchivos accidentalesInstantáneas socialesAtaques de transferencia de zonaForzar subdominiosAtaques al diccionarioResumen
Descubrimiento de puntos finalesMecanismos de autenticaciónFormas de los extremosFormas comunesFormas específicas para cada aplicaciónResumen
Detectar marcos del lado del clienteDetectar marcos SPADetectar bibliotecas JavaScriptDetectar bibliotecas CSSDetección de frameworks del lado del servidorDetección de cabecerasMensajes de error por defecto y páginas 404Detección de Bases de DatosResumen
Señales de arquitectura seguras frente a insegurasMúltiples capas de seguridadAdopción y reinvenciónResumen

La mentalidad del hackerReconocimiento aplicado
Descubrimiento y explotación de XSSXSS almacenadoXSS reflejadoXSS basado en DOMXSS basado en mutacionesResumen
Manipulación de parámetros de consultaCargas útiles GET alternativasCSRF contra puntos finales POSTResumen
Directo XXEIndirecto XXEResumen
Inyección SQLInyección de códigoInyección de comandosResumen
regex DoS (ReDoS)Vulnerabilidades lógicas DoSDoS distribuidoResumen
Métodos de integraciónRamas y horquillasIntegraciones de aplicaciones autoalojadasIntegración del código fuenteGestores de paquetesJavaScriptJavaOtras lenguasBase de datos de vulnerabilidades y exposiciones comunesResumen
Arquitectura de software defensivaRevisiones exhaustivas del CódigoDescubrimiento de vulnerabilidadesAnálisis de vulnerabilidadGestión de vulnerabilidadesPruebas de regresiónEstrategias de mitigaciónTécnicas aplicadas de reconocimiento y ataque
Analizar los requisitos de las funcionesAutenticación y autorizaciónCapa de sockets seguros y seguridad de la capa de transporteCredenciales segurasHashing de credenciales2FAPII y Datos FinancierosBuscando enResumen
Cómo iniciar una revisión del códigoVulnerabilidades arquetípicas frente a errores lógicos personalizadosPor dónde empezar una revisión de seguridadAntipatrones de codificación seguraListas negrasCódigo estándarAntipatrón de confianza por defectoSeparación cliente/servidorResumen
Automatización de la seguridadAnálisis estáticoAnálisis dinámicoPruebas de regresión de vulnerabilidadesProgramas de divulgación responsableProgramas de recompensas por fallosPruebas de penetración de tercerosResumen
Reproducir vulnerabilidadesClasificación de la gravedad de la vulnerabilidadSistema común de puntuación de vulnerabilidadesCVSS: Puntuación baseCVSS: Puntuación temporalCVSS: Puntuación ambientalPuntuación avanzada de vulnerabilidadesMás allá del triaje y la puntuaciónResumen
Buenas prácticas de codificación Anti-XSSDesinfección de la entrada del usuarioDOMParser FregaderoFregadero SVGFregadero BlobDesinfección de hipervínculosCodificación de entidades HTMLCSSPolítica de seguridad de contenidos para la prevención de XSSFuente del guiónEval. insegura e Inline inseguraImplantar un CSPResumen
Verificación de cabeceraTokens CSRFTokens CSRF sin estadoBuenas prácticas de codificación anti-CRSFPeticiones GET sin estadoMitigación de CSRF en toda la aplicaciónResumen
Evaluación de otros formatos de datosRiesgos XXE avanzadosResumen
Mitigar la inyección SQLDetección de inyecciones SQLDeclaraciones preparadasDefensas específicas de la base de datosDefensas genéricas contra inyeccionesObjetivos potenciales de inyecciónPrincipio de mínima autoridadComandos de listas blancasResumen
Protección contra DoS RegexProtección contra la denegación de servicio lógicaProtección contra DDoSMitigación DDoSResumen
Evaluación de los árboles de relacionesModelar un árbol de relacionesÁrboles de dependencia en el mundo realEvaluación automatizadaTécnicas de integración segurasSeparación de preocupacionesGestión segura de paquetesResumen
Historia de la seguridad del softwareReconocimiento de aplicaciones webOfensaDefensa

Overview

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Aunque se dispone de muchos recursos para la seguridad de las redes y las TI, hasta ahora se carecía de conocimientos detallados sobre la seguridad de las aplicaciones web modernas. Esta guía práctica proporciona conceptos de seguridad tanto ofensivos como defensivos que los ingenieros de software pueden aprender y aplicar fácilmente.

Andrew Hoffman, ingeniero de seguridad senior de Salesforce, presenta tres pilares de la seguridad de las aplicaciones web: reconocimiento, ataque y defensa. Aprenderás métodos para investigar y analizar eficazmente las aplicaciones web modernas, incluidas aquellas a las que no tienes acceso directo. También aprenderás a entrar en las aplicaciones web utilizando las últimas técnicas de hacking. Por último, aprenderás a desarrollar mitigaciones para utilizarlas en tus propias aplicaciones web y protegerlas de los hackers.

Explora las vulnerabilidades más comunes que afectan a las aplicaciones web actuales
Aprende las técnicas de pirateo esenciales que utilizan los atacantes para explotar las aplicaciones
Mapea y documenta las aplicaciones web a las que no tienes acceso directo
Desarrolla y despliega exploits personalizados que puedan eludir las defensas comunes
Desarrolla y despliega mitigaciones para proteger tus aplicaciones contra los hackers
Integra las mejores prácticas de codificación segura en tu ciclo de vida de desarrollo
Obtén consejos prácticos que te ayudarán a mejorar la seguridad general de tus aplicaciones web