book

Seguridad de las aplicaciones web

Name: Seguridad de las aplicaciones web
Author: Andrew Hoffman
ISBN: 9798341607279

by Andrew Hoffman

October 2024

Intermediate to advanced

330 pages

8h 53m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Prefacio
Conocimientos previos y objetivos de aprendizajeAntecedentes sugeridosCompetencias mínimas requeridas¿Quién se beneficia más de la lectura de este libro?Ingenieros de software y desarrolladores de aplicaciones webObjetivos generales de aprendizajeIngenieros de seguridad, Pen Testers y Bug Bounty Hunters¿Cómo está organizado este libro?ReconOfensaDefensaLengua y terminologíaResumenConvenciones utilizadas en este libroAprendizaje en línea O'ReillyCómo contactar con nosotros
1. La historia de la seguridad del software
Los orígenes del pirateo informáticoLa máquina Enigma, circa 1930Descifrado automatizado del código Enigma, circa 1940Presentamos la "Bomba"Teléfono "Phreaking", circa 1950Tecnología antifractura, circa 1960Los orígenes del pirateo informático, hacia 1980El auge de la World Wide Web, circa 2000Hackers en la Era Moderna, Circa 2015+Resumen
I. Recon
2. Introducción al Reconocimiento de Aplicaciones Web
Recogida de informaciónMapeo de aplicaciones webResumen
3. La estructura de una aplicación web moderna
Aplicaciones web modernas frente a heredadasAPI RESTNotación de objetos de JavaScriptJavaScriptVariables y ámbito de aplicaciónFuncionesContextoHerencia prototípicaAsincroníaDOM del navegadorMarcos SPASistemas de autenticación y autorizaciónAutenticaciónAutorizaciónServidores webBases de datos del lado del servidorAlmacenes de datos del lado del clienteResumen
4. Encontrar subdominios
Múltiples aplicaciones por dominioLas herramientas de análisis de red integradas en el navegadorAprovechar los Registros PúblicosCachés de los buscadoresArchivos accidentalesInstantáneas socialesAtaques de transferencia de zonaForzar subdominiosAtaques al diccionarioResumen
5. Análisis API
Descubrimiento de puntos finalesMecanismos de autenticaciónFormas de los extremosFormas comunesFormas específicas para cada aplicaciónResumen
6. Identificar las dependencias de terceros
Detectar marcos del lado del clienteDetectar marcos SPADetectar bibliotecas JavaScriptDetectar bibliotecas CSSDetección de frameworks del lado del servidorDetección de cabecerasMensajes de error por defecto y páginas 404Detección de Bases de DatosResumen
7. Identificar los puntos débiles de la arquitectura de la aplicación
Señales de arquitectura seguras frente a insegurasMúltiples capas de seguridadAdopción y reinvenciónResumen
8. Resumen de la Parte I

II. Delito
9. Introducción al pirateo de aplicaciones web
La mentalidad del hackerReconocimiento aplicado
10. Secuencias de comandos en sitios cruzados (XSS)
Descubrimiento y explotación de XSSXSS almacenadoXSS reflejadoXSS basado en DOMXSS basado en mutacionesResumen
11. Falsificación de petición de sitio cruzado (CSRF)
Manipulación de parámetros de consultaCargas útiles GET alternativasCSRF contra puntos finales POSTResumen
12. Entidad externa XML (XXE)
Directo XXEIndirecto XXEResumen
13. Inyección
Inyección SQLInyección de códigoInyección de comandosResumen
14. Denegación de Servicio (DoS)
regex DoS (ReDoS)Vulnerabilidades lógicas DoSDoS distribuidoResumen
15. Aprovechar las dependencias de terceros
Métodos de integraciónRamas y horquillasIntegraciones de aplicaciones autoalojadasIntegración del código fuenteGestores de paquetesJavaScriptJavaOtras lenguasBase de datos de vulnerabilidades y exposiciones comunesResumen
16. Resumen de la Parte II
III. Defensa
17. Asegurar las aplicaciones web modernas
Arquitectura de software defensivaRevisiones exhaustivas del CódigoDescubrimiento de vulnerabilidadesAnálisis de vulnerabilidadGestión de vulnerabilidadesPruebas de regresiónEstrategias de mitigaciónTécnicas aplicadas de reconocimiento y ataque
18. Arquitectura de aplicaciones seguras
Analizar los requisitos de las funcionesAutenticación y autorizaciónCapa de sockets seguros y seguridad de la capa de transporteCredenciales segurasHashing de credenciales2FAPII y Datos FinancierosBuscando enResumen
19. Revisar la seguridad del código
Cómo iniciar una revisión del códigoVulnerabilidades arquetípicas frente a errores lógicos personalizadosPor dónde empezar una revisión de seguridadAntipatrones de codificación seguraListas negrasCódigo estándarAntipatrón de confianza por defectoSeparación cliente/servidorResumen
20. Descubrimiento de vulnerabilidades
Automatización de la seguridadAnálisis estáticoAnálisis dinámicoPruebas de regresión de vulnerabilidadesProgramas de divulgación responsableProgramas de recompensas por fallosPruebas de penetración de tercerosResumen
21. Gestión de la vulnerabilidad
Reproducir vulnerabilidadesClasificación de la gravedad de la vulnerabilidadSistema común de puntuación de vulnerabilidadesCVSS: Puntuación baseCVSS: Puntuación temporalCVSS: Puntuación ambientalPuntuación avanzada de vulnerabilidadesMás allá del triaje y la puntuaciónResumen
22. Defensa contra ataques XSS
Buenas prácticas de codificación Anti-XSSDesinfección de la entrada del usuarioDOMParser FregaderoFregadero SVGFregadero BlobDesinfección de hipervínculosCodificación de entidades HTMLCSSPolítica de seguridad de contenidos para la prevención de XSSFuente del guiónEval. insegura e Inline inseguraImplantar un CSPResumen
23. Defensa contra ataques CSRF
Verificación de cabeceraTokens CSRFTokens CSRF sin estadoBuenas prácticas de codificación anti-CRSFPeticiones GET sin estadoMitigación de CSRF en toda la aplicaciónResumen
24. Defensa contra XXE
Evaluación de otros formatos de datosRiesgos XXE avanzadosResumen
25. Defensa contra la inyección
Mitigar la inyección SQLDetección de inyecciones SQLDeclaraciones preparadasDefensas específicas de la base de datosDefensas genéricas contra inyeccionesObjetivos potenciales de inyecciónPrincipio de mínima autoridadComandos de listas blancasResumen
26. Defensa contra DoS
Protección contra DoS RegexProtección contra la denegación de servicio lógicaProtección contra DDoSMitigación DDoSResumen
27. Asegurar las dependencias de terceros
Evaluación de los árboles de relacionesModelar un árbol de relacionesÁrboles de dependencia en el mundo realEvaluación automatizadaTécnicas de integración segurasSeparación de preocupacionesGestión segura de paquetesResumen
28. Parte III Resumen
Historia de la seguridad del softwareReconocimiento de aplicaciones webOfensaDefensa
29. Conclusión
Índice

Content preview from Seguridad de las aplicaciones web

Capítulo 19. Revisar la seguridad del código

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

La etapa de revisión del código debe producirse siempre después de la etapa de arquitectura en una organización preocupada por la seguridad, y nunca antes.

Algunas empresas tecnológicas actuales defienden el mantra de "moverse rápido y romper cosas", pero a menudo se abusa de esa filosofía y se utiliza como método para ignorar los procesos de seguridad adecuados. Incluso en una empresa que se mueve rápido, es imprescindible revisar la arquitectura de la aplicación antes de enviar el código. Aunque desde el punto de vista de la seguridad lo ideal sería revisar toda la arquitectura de funciones por adelantado, esto puede no ser factible en condiciones de incertidumbre. Por ello, como mínimo, las funciones principales y conocidas deben ser objeto de arquitectura y revisión, y cuando surjan nuevas funciones, también deben ser objeto de arquitectura y revisión de seguridad antes de su desarrollo.

El momento adecuado para revisar el código en busca de lagunas de seguridad es una vez que se ha revisado adecuadamente la arquitectura que subyace a la confirmación del código. Esto significa que las revisiones del código deben ser el segundo paso en una organización que siga las buenas prácticas de desarrollo seguro.

Esto tiene dos ventajas. La primera y más obvia es la de la seguridad, pero tener un revisor adicional que normalmente ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Arquitectura de seguridad para la nube híbrida

Publisher Resources

ISBN: 9798341607279

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Seguridad de las aplicaciones web

by Andrew Hoffman

Capítulo 19. Revisar la seguridad del código

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.