book

Seguridad de las aplicaciones web

Name: Seguridad de las aplicaciones web
Author: Andrew Hoffman
ISBN: 9798341607279

by Andrew Hoffman

October 2024

Intermediate to advanced

330 pages

8h 53m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Prefacio
Conocimientos previos y objetivos de aprendizajeAntecedentes sugeridosCompetencias mínimas requeridas¿Quién se beneficia más de la lectura de este libro?Ingenieros de software y desarrolladores de aplicaciones webObjetivos generales de aprendizajeIngenieros de seguridad, Pen Testers y Bug Bounty Hunters¿Cómo está organizado este libro?ReconOfensaDefensaLengua y terminologíaResumenConvenciones utilizadas en este libroAprendizaje en línea O'ReillyCómo contactar con nosotros
1. La historia de la seguridad del software
Los orígenes del pirateo informáticoLa máquina Enigma, circa 1930Descifrado automatizado del código Enigma, circa 1940Presentamos la "Bomba"Teléfono "Phreaking", circa 1950Tecnología antifractura, circa 1960Los orígenes del pirateo informático, hacia 1980El auge de la World Wide Web, circa 2000Hackers en la Era Moderna, Circa 2015+Resumen
I. Recon
2. Introducción al Reconocimiento de Aplicaciones Web
Recogida de informaciónMapeo de aplicaciones webResumen
3. La estructura de una aplicación web moderna
Aplicaciones web modernas frente a heredadasAPI RESTNotación de objetos de JavaScriptJavaScriptVariables y ámbito de aplicaciónFuncionesContextoHerencia prototípicaAsincroníaDOM del navegadorMarcos SPASistemas de autenticación y autorizaciónAutenticaciónAutorizaciónServidores webBases de datos del lado del servidorAlmacenes de datos del lado del clienteResumen
4. Encontrar subdominios
Múltiples aplicaciones por dominioLas herramientas de análisis de red integradas en el navegadorAprovechar los Registros PúblicosCachés de los buscadoresArchivos accidentalesInstantáneas socialesAtaques de transferencia de zonaForzar subdominiosAtaques al diccionarioResumen
5. Análisis API
Descubrimiento de puntos finalesMecanismos de autenticaciónFormas de los extremosFormas comunesFormas específicas para cada aplicaciónResumen
6. Identificar las dependencias de terceros
Detectar marcos del lado del clienteDetectar marcos SPADetectar bibliotecas JavaScriptDetectar bibliotecas CSSDetección de frameworks del lado del servidorDetección de cabecerasMensajes de error por defecto y páginas 404Detección de Bases de DatosResumen
7. Identificar los puntos débiles de la arquitectura de la aplicación
Señales de arquitectura seguras frente a insegurasMúltiples capas de seguridadAdopción y reinvenciónResumen
8. Resumen de la Parte I

II. Delito
9. Introducción al pirateo de aplicaciones web
La mentalidad del hackerReconocimiento aplicado
10. Secuencias de comandos en sitios cruzados (XSS)
Descubrimiento y explotación de XSSXSS almacenadoXSS reflejadoXSS basado en DOMXSS basado en mutacionesResumen
11. Falsificación de petición de sitio cruzado (CSRF)
Manipulación de parámetros de consultaCargas útiles GET alternativasCSRF contra puntos finales POSTResumen
12. Entidad externa XML (XXE)
Directo XXEIndirecto XXEResumen
13. Inyección
Inyección SQLInyección de códigoInyección de comandosResumen
14. Denegación de Servicio (DoS)
regex DoS (ReDoS)Vulnerabilidades lógicas DoSDoS distribuidoResumen
15. Aprovechar las dependencias de terceros
Métodos de integraciónRamas y horquillasIntegraciones de aplicaciones autoalojadasIntegración del código fuenteGestores de paquetesJavaScriptJavaOtras lenguasBase de datos de vulnerabilidades y exposiciones comunesResumen
16. Resumen de la Parte II
III. Defensa
17. Asegurar las aplicaciones web modernas
Arquitectura de software defensivaRevisiones exhaustivas del CódigoDescubrimiento de vulnerabilidadesAnálisis de vulnerabilidadGestión de vulnerabilidadesPruebas de regresiónEstrategias de mitigaciónTécnicas aplicadas de reconocimiento y ataque
18. Arquitectura de aplicaciones seguras
Analizar los requisitos de las funcionesAutenticación y autorizaciónCapa de sockets seguros y seguridad de la capa de transporteCredenciales segurasHashing de credenciales2FAPII y Datos FinancierosBuscando enResumen
19. Revisar la seguridad del código
Cómo iniciar una revisión del códigoVulnerabilidades arquetípicas frente a errores lógicos personalizadosPor dónde empezar una revisión de seguridadAntipatrones de codificación seguraListas negrasCódigo estándarAntipatrón de confianza por defectoSeparación cliente/servidorResumen
20. Descubrimiento de vulnerabilidades
Automatización de la seguridadAnálisis estáticoAnálisis dinámicoPruebas de regresión de vulnerabilidadesProgramas de divulgación responsableProgramas de recompensas por fallosPruebas de penetración de tercerosResumen
21. Gestión de la vulnerabilidad
Reproducir vulnerabilidadesClasificación de la gravedad de la vulnerabilidadSistema común de puntuación de vulnerabilidadesCVSS: Puntuación baseCVSS: Puntuación temporalCVSS: Puntuación ambientalPuntuación avanzada de vulnerabilidadesMás allá del triaje y la puntuaciónResumen
22. Defensa contra ataques XSS
Buenas prácticas de codificación Anti-XSSDesinfección de la entrada del usuarioDOMParser FregaderoFregadero SVGFregadero BlobDesinfección de hipervínculosCodificación de entidades HTMLCSSPolítica de seguridad de contenidos para la prevención de XSSFuente del guiónEval. insegura e Inline inseguraImplantar un CSPResumen
23. Defensa contra ataques CSRF
Verificación de cabeceraTokens CSRFTokens CSRF sin estadoBuenas prácticas de codificación anti-CRSFPeticiones GET sin estadoMitigación de CSRF en toda la aplicaciónResumen
24. Defensa contra XXE
Evaluación de otros formatos de datosRiesgos XXE avanzadosResumen
25. Defensa contra la inyección
Mitigar la inyección SQLDetección de inyecciones SQLDeclaraciones preparadasDefensas específicas de la base de datosDefensas genéricas contra inyeccionesObjetivos potenciales de inyecciónPrincipio de mínima autoridadComandos de listas blancasResumen
26. Defensa contra DoS
Protección contra DoS RegexProtección contra la denegación de servicio lógicaProtección contra DDoSMitigación DDoSResumen
27. Asegurar las dependencias de terceros
Evaluación de los árboles de relacionesModelar un árbol de relacionesÁrboles de dependencia en el mundo realEvaluación automatizadaTécnicas de integración segurasSeparación de preocupacionesGestión segura de paquetesResumen
28. Parte III Resumen
Historia de la seguridad del softwareReconocimiento de aplicaciones webOfensaDefensa
29. Conclusión
Índice

Content preview from Seguridad de las aplicaciones web

Capítulo 12. Entidad externa XML (XXE)

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

XML External Entity (XXE) es una clasificación de ataque que suele ser muy sencilla de ejecutar, pero con resultados devastadores. Esta clasificación de ataque se basa en un analizador XML mal configurado dentro del código de una aplicación.

En general, casi todas las vulnerabilidades de ataque XXE se encuentran como resultado de un punto final de API que acepta una carga útil XML (o similar a XML). Puede que pienses que los puntos finales HTTP que aceptan XML son poco comunes, pero los formatos similares a XML incluyen SVG, HTML/DOM, PDF (XFDF) y RTF. Estos formatos similares a XML comparten muchas similitudes con la especificación XML y, como resultado, muchos analizadores XML también los aceptan como entradas.

La magia detrás de un ataque XXE es que la especificación XML incluye una anotación especial para importar archivos externos. Esta directiva especial de, denominada entidad externa, se interpreta en la máquina en la que se evalúa el archivo XML. Esto significa que una carga útil XML especialmente diseñada enviada al analizador XML de un servidor podría comprometer archivos de la estructura de archivos de ese servidor.

XXE se utiliza a menudo para comprometer archivos de otros usuarios, o para acceder a archivos como /etc/shadow que almacenan credenciales importantes necesarias para que un servidor basado en Unix funcione ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Arquitectura de seguridad para la nube híbrida

Publisher Resources

ISBN: 9798341607279

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Seguridad de las aplicaciones web

by Andrew Hoffman

Capítulo 12. Entidad externa XML (XXE)

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.