book

Seguridad de las aplicaciones web

by Andrew Hoffman

October 2024

Intermediate to advanced

330 pages

8h 53m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Conocimientos previos y objetivos de aprendizajeAntecedentes sugeridosCompetencias mínimas requeridas¿Quién se beneficia más de la lectura de este libro?Ingenieros de software y desarrolladores de aplicaciones webObjetivos generales de aprendizajeIngenieros de seguridad, Pen Testers y Bug Bounty Hunters¿Cómo está organizado este libro?ReconOfensaDefensaLengua y terminologíaResumenConvenciones utilizadas en este libroAprendizaje en línea O'ReillyCómo contactar con nosotros
Los orígenes del pirateo informáticoLa máquina Enigma, circa 1930Descifrado automatizado del código Enigma, circa 1940Presentamos la "Bomba"Teléfono "Phreaking", circa 1950Tecnología antifractura, circa 1960Los orígenes del pirateo informático, hacia 1980El auge de la World Wide Web, circa 2000Hackers en la Era Moderna, Circa 2015+Resumen
Recogida de informaciónMapeo de aplicaciones webResumen
Aplicaciones web modernas frente a heredadasAPI RESTNotación de objetos de JavaScriptJavaScriptVariables y ámbito de aplicaciónFuncionesContextoHerencia prototípicaAsincroníaDOM del navegadorMarcos SPASistemas de autenticación y autorizaciónAutenticaciónAutorizaciónServidores webBases de datos del lado del servidorAlmacenes de datos del lado del clienteResumen
Múltiples aplicaciones por dominioLas herramientas de análisis de red integradas en el navegadorAprovechar los Registros PúblicosCachés de los buscadoresArchivos accidentalesInstantáneas socialesAtaques de transferencia de zonaForzar subdominiosAtaques al diccionarioResumen
Descubrimiento de puntos finalesMecanismos de autenticaciónFormas de los extremosFormas comunesFormas específicas para cada aplicaciónResumen
Detectar marcos del lado del clienteDetectar marcos SPADetectar bibliotecas JavaScriptDetectar bibliotecas CSSDetección de frameworks del lado del servidorDetección de cabecerasMensajes de error por defecto y páginas 404Detección de Bases de DatosResumen
Señales de arquitectura seguras frente a insegurasMúltiples capas de seguridadAdopción y reinvenciónResumen

La mentalidad del hackerReconocimiento aplicado
Descubrimiento y explotación de XSSXSS almacenadoXSS reflejadoXSS basado en DOMXSS basado en mutacionesResumen
Manipulación de parámetros de consultaCargas útiles GET alternativasCSRF contra puntos finales POSTResumen
Directo XXEIndirecto XXEResumen
Inyección SQLInyección de códigoInyección de comandosResumen
regex DoS (ReDoS)Vulnerabilidades lógicas DoSDoS distribuidoResumen
Métodos de integraciónRamas y horquillasIntegraciones de aplicaciones autoalojadasIntegración del código fuenteGestores de paquetesJavaScriptJavaOtras lenguasBase de datos de vulnerabilidades y exposiciones comunesResumen
Arquitectura de software defensivaRevisiones exhaustivas del CódigoDescubrimiento de vulnerabilidadesAnálisis de vulnerabilidadGestión de vulnerabilidadesPruebas de regresiónEstrategias de mitigaciónTécnicas aplicadas de reconocimiento y ataque
Analizar los requisitos de las funcionesAutenticación y autorizaciónCapa de sockets seguros y seguridad de la capa de transporteCredenciales segurasHashing de credenciales2FAPII y Datos FinancierosBuscando enResumen
Cómo iniciar una revisión del códigoVulnerabilidades arquetípicas frente a errores lógicos personalizadosPor dónde empezar una revisión de seguridadAntipatrones de codificación seguraListas negrasCódigo estándarAntipatrón de confianza por defectoSeparación cliente/servidorResumen
Automatización de la seguridadAnálisis estáticoAnálisis dinámicoPruebas de regresión de vulnerabilidadesProgramas de divulgación responsableProgramas de recompensas por fallosPruebas de penetración de tercerosResumen
Reproducir vulnerabilidadesClasificación de la gravedad de la vulnerabilidadSistema común de puntuación de vulnerabilidadesCVSS: Puntuación baseCVSS: Puntuación temporalCVSS: Puntuación ambientalPuntuación avanzada de vulnerabilidadesMás allá del triaje y la puntuaciónResumen
Buenas prácticas de codificación Anti-XSSDesinfección de la entrada del usuarioDOMParser FregaderoFregadero SVGFregadero BlobDesinfección de hipervínculosCodificación de entidades HTMLCSSPolítica de seguridad de contenidos para la prevención de XSSFuente del guiónEval. insegura e Inline inseguraImplantar un CSPResumen
Verificación de cabeceraTokens CSRFTokens CSRF sin estadoBuenas prácticas de codificación anti-CRSFPeticiones GET sin estadoMitigación de CSRF en toda la aplicaciónResumen
Evaluación de otros formatos de datosRiesgos XXE avanzadosResumen
Mitigar la inyección SQLDetección de inyecciones SQLDeclaraciones preparadasDefensas específicas de la base de datosDefensas genéricas contra inyeccionesObjetivos potenciales de inyecciónPrincipio de mínima autoridadComandos de listas blancasResumen
Protección contra DoS RegexProtección contra la denegación de servicio lógicaProtección contra DDoSMitigación DDoSResumen
Evaluación de los árboles de relacionesModelar un árbol de relacionesÁrboles de dependencia en el mundo realEvaluación automatizadaTécnicas de integración segurasSeparación de preocupacionesGestión segura de paquetesResumen
Historia de la seguridad del softwareReconocimiento de aplicaciones webOfensaDefensa

Content preview from Seguridad de las aplicaciones web

Capítulo 28. Resumen de la Parte III

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Enhorabuena, has superado cada una de las partes principales de la Seguridad de las Aplicaciones Web. Ahora tienes conocimientos sobre el reconocimiento de aplicaciones web, las técnicas ofensivas de pirateo que se pueden utilizar contra las aplicaciones web, y las mitigaciones defensivas y buenas prácticas que se pueden emplear para reducir el riesgo de que pirateen tu aplicación.

También deberías tener algunos conocimientos sobre la historia de la seguridad del software y la evolución de la piratería informática. Esto ha sido fundamental en el camino hacia el reconocimiento de aplicaciones web, las técnicas ofensivas y las mitigaciones defensivas.

A continuación encontrarás un breve resumen de los puntos clave y las lecciones del libro en.

Historia de la seguridad del software

Con una evaluación adecuada de los acontecimientos históricos, podemos ver los orígenes de las técnicas defensivas y ofensivas modernas. A partir de estos orígenes podemos comprender mejor la dirección en la que se ha desarrollado el software, y aprovechar las lecciones históricas al desarrollar técnicas ofensivas y defensivas de próxima generación.

Phreaking telefónico

En para escalar las redes telefónicas, se sustituyeron los operadores manuales por automatismos que se basaban en frecuencias sonoras para conectar los teléfonos entre sí.
Los primeros ...