book

Seguridad de las aplicaciones web

Name: Seguridad de las aplicaciones web
Author: Andrew Hoffman
ISBN: 9798341607279

by Andrew Hoffman

October 2024

Intermediate to advanced

330 pages

8h 53m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Prefacio
Conocimientos previos y objetivos de aprendizajeAntecedentes sugeridosCompetencias mínimas requeridas¿Quién se beneficia más de la lectura de este libro?Ingenieros de software y desarrolladores de aplicaciones webObjetivos generales de aprendizajeIngenieros de seguridad, Pen Testers y Bug Bounty Hunters¿Cómo está organizado este libro?ReconOfensaDefensaLengua y terminologíaResumenConvenciones utilizadas en este libroAprendizaje en línea O'ReillyCómo contactar con nosotros
1. La historia de la seguridad del software
Los orígenes del pirateo informáticoLa máquina Enigma, circa 1930Descifrado automatizado del código Enigma, circa 1940Presentamos la "Bomba"Teléfono "Phreaking", circa 1950Tecnología antifractura, circa 1960Los orígenes del pirateo informático, hacia 1980El auge de la World Wide Web, circa 2000Hackers en la Era Moderna, Circa 2015+Resumen
I. Recon
2. Introducción al Reconocimiento de Aplicaciones Web
Recogida de informaciónMapeo de aplicaciones webResumen
3. La estructura de una aplicación web moderna
Aplicaciones web modernas frente a heredadasAPI RESTNotación de objetos de JavaScriptJavaScriptVariables y ámbito de aplicaciónFuncionesContextoHerencia prototípicaAsincroníaDOM del navegadorMarcos SPASistemas de autenticación y autorizaciónAutenticaciónAutorizaciónServidores webBases de datos del lado del servidorAlmacenes de datos del lado del clienteResumen
4. Encontrar subdominios
Múltiples aplicaciones por dominioLas herramientas de análisis de red integradas en el navegadorAprovechar los Registros PúblicosCachés de los buscadoresArchivos accidentalesInstantáneas socialesAtaques de transferencia de zonaForzar subdominiosAtaques al diccionarioResumen
5. Análisis API
Descubrimiento de puntos finalesMecanismos de autenticaciónFormas de los extremosFormas comunesFormas específicas para cada aplicaciónResumen
6. Identificar las dependencias de terceros
Detectar marcos del lado del clienteDetectar marcos SPADetectar bibliotecas JavaScriptDetectar bibliotecas CSSDetección de frameworks del lado del servidorDetección de cabecerasMensajes de error por defecto y páginas 404Detección de Bases de DatosResumen
7. Identificar los puntos débiles de la arquitectura de la aplicación
Señales de arquitectura seguras frente a insegurasMúltiples capas de seguridadAdopción y reinvenciónResumen
8. Resumen de la Parte I

II. Delito
9. Introducción al pirateo de aplicaciones web
La mentalidad del hackerReconocimiento aplicado
10. Secuencias de comandos en sitios cruzados (XSS)
Descubrimiento y explotación de XSSXSS almacenadoXSS reflejadoXSS basado en DOMXSS basado en mutacionesResumen
11. Falsificación de petición de sitio cruzado (CSRF)
Manipulación de parámetros de consultaCargas útiles GET alternativasCSRF contra puntos finales POSTResumen
12. Entidad externa XML (XXE)
Directo XXEIndirecto XXEResumen
13. Inyección
Inyección SQLInyección de códigoInyección de comandosResumen
14. Denegación de Servicio (DoS)
regex DoS (ReDoS)Vulnerabilidades lógicas DoSDoS distribuidoResumen
15. Aprovechar las dependencias de terceros
Métodos de integraciónRamas y horquillasIntegraciones de aplicaciones autoalojadasIntegración del código fuenteGestores de paquetesJavaScriptJavaOtras lenguasBase de datos de vulnerabilidades y exposiciones comunesResumen
16. Resumen de la Parte II
III. Defensa
17. Asegurar las aplicaciones web modernas
Arquitectura de software defensivaRevisiones exhaustivas del CódigoDescubrimiento de vulnerabilidadesAnálisis de vulnerabilidadGestión de vulnerabilidadesPruebas de regresiónEstrategias de mitigaciónTécnicas aplicadas de reconocimiento y ataque
18. Arquitectura de aplicaciones seguras
Analizar los requisitos de las funcionesAutenticación y autorizaciónCapa de sockets seguros y seguridad de la capa de transporteCredenciales segurasHashing de credenciales2FAPII y Datos FinancierosBuscando enResumen
19. Revisar la seguridad del código
Cómo iniciar una revisión del códigoVulnerabilidades arquetípicas frente a errores lógicos personalizadosPor dónde empezar una revisión de seguridadAntipatrones de codificación seguraListas negrasCódigo estándarAntipatrón de confianza por defectoSeparación cliente/servidorResumen
20. Descubrimiento de vulnerabilidades
Automatización de la seguridadAnálisis estáticoAnálisis dinámicoPruebas de regresión de vulnerabilidadesProgramas de divulgación responsableProgramas de recompensas por fallosPruebas de penetración de tercerosResumen
21. Gestión de la vulnerabilidad
Reproducir vulnerabilidadesClasificación de la gravedad de la vulnerabilidadSistema común de puntuación de vulnerabilidadesCVSS: Puntuación baseCVSS: Puntuación temporalCVSS: Puntuación ambientalPuntuación avanzada de vulnerabilidadesMás allá del triaje y la puntuaciónResumen
22. Defensa contra ataques XSS
Buenas prácticas de codificación Anti-XSSDesinfección de la entrada del usuarioDOMParser FregaderoFregadero SVGFregadero BlobDesinfección de hipervínculosCodificación de entidades HTMLCSSPolítica de seguridad de contenidos para la prevención de XSSFuente del guiónEval. insegura e Inline inseguraImplantar un CSPResumen
23. Defensa contra ataques CSRF
Verificación de cabeceraTokens CSRFTokens CSRF sin estadoBuenas prácticas de codificación anti-CRSFPeticiones GET sin estadoMitigación de CSRF en toda la aplicaciónResumen
24. Defensa contra XXE
Evaluación de otros formatos de datosRiesgos XXE avanzadosResumen
25. Defensa contra la inyección
Mitigar la inyección SQLDetección de inyecciones SQLDeclaraciones preparadasDefensas específicas de la base de datosDefensas genéricas contra inyeccionesObjetivos potenciales de inyecciónPrincipio de mínima autoridadComandos de listas blancasResumen
26. Defensa contra DoS
Protección contra DoS RegexProtección contra la denegación de servicio lógicaProtección contra DDoSMitigación DDoSResumen
27. Asegurar las dependencias de terceros
Evaluación de los árboles de relacionesModelar un árbol de relacionesÁrboles de dependencia en el mundo realEvaluación automatizadaTécnicas de integración segurasSeparación de preocupacionesGestión segura de paquetesResumen
28. Parte III Resumen
Historia de la seguridad del softwareReconocimiento de aplicaciones webOfensaDefensa
29. Conclusión
Índice

Content preview from Seguridad de las aplicaciones web

Capítulo 26. Defenderse de la denegación de servicio

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

DoS Los ataques suelen implicar el uso de recursos del sistema, lo que puede dificultar un poco su detección sin un registro robusto del servidor. Puede ser difícil detectar un ataque DoS ocurrido en el pasado si llegó a través de canales legítimos (como un punto final de API).

Por ello, una primera medida contra los ataques de tipo DoS debería ser crear en tu servidor un sistema de registro lo suficientemente completo como para que todas las peticiones queden registradas junto con su tiempo de respuesta. También deberías registrar manualmente el rendimiento de cualquier tipo de función asíncrona tipo "trabajo", como una copia de seguridad que se llame a través de tu API pero que se ejecute en segundo plano y no genere una respuesta una vez finalizada. Hacer esto te permitirá encontrar cualquier intento (accidental o malintencionado) de explotar una vulnerabilidad DoS (del lado del servidor) que, de otro modo, habría sido difícil y te habría llevado mucho tiempo.

Como ya se ha comentado, los ataques DoS se estructuran con uno o más de los siguientes resultados en mente:

Agotar los recursos del servidor
Agotar los recursos del cliente
Solicitar recursos no disponibles

Las dos primeras son más fáciles de explotar sin un conocimiento directo del ecosistema del servidor o del cliente. Debemos tener en cuenta ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Arquitectura de seguridad para la nube híbrida

Publisher Resources

ISBN: 9798341607279

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Seguridad de las aplicaciones web

by Andrew Hoffman

Capítulo 26. Defenderse de la denegación de servicio

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.