book

Seguridad de las aplicaciones web

by Andrew Hoffman

October 2024

Intermediate to advanced

330 pages

8h 53m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Conocimientos previos y objetivos de aprendizajeAntecedentes sugeridosCompetencias mínimas requeridas¿Quién se beneficia más de la lectura de este libro?Ingenieros de software y desarrolladores de aplicaciones webObjetivos generales de aprendizajeIngenieros de seguridad, Pen Testers y Bug Bounty Hunters¿Cómo está organizado este libro?ReconOfensaDefensaLengua y terminologíaResumenConvenciones utilizadas en este libroAprendizaje en línea O'ReillyCómo contactar con nosotros
Los orígenes del pirateo informáticoLa máquina Enigma, circa 1930Descifrado automatizado del código Enigma, circa 1940Presentamos la "Bomba"Teléfono "Phreaking", circa 1950Tecnología antifractura, circa 1960Los orígenes del pirateo informático, hacia 1980El auge de la World Wide Web, circa 2000Hackers en la Era Moderna, Circa 2015+Resumen
Recogida de informaciónMapeo de aplicaciones webResumen
Aplicaciones web modernas frente a heredadasAPI RESTNotación de objetos de JavaScriptJavaScriptVariables y ámbito de aplicaciónFuncionesContextoHerencia prototípicaAsincroníaDOM del navegadorMarcos SPASistemas de autenticación y autorizaciónAutenticaciónAutorizaciónServidores webBases de datos del lado del servidorAlmacenes de datos del lado del clienteResumen
Múltiples aplicaciones por dominioLas herramientas de análisis de red integradas en el navegadorAprovechar los Registros PúblicosCachés de los buscadoresArchivos accidentalesInstantáneas socialesAtaques de transferencia de zonaForzar subdominiosAtaques al diccionarioResumen
Descubrimiento de puntos finalesMecanismos de autenticaciónFormas de los extremosFormas comunesFormas específicas para cada aplicaciónResumen
Detectar marcos del lado del clienteDetectar marcos SPADetectar bibliotecas JavaScriptDetectar bibliotecas CSSDetección de frameworks del lado del servidorDetección de cabecerasMensajes de error por defecto y páginas 404Detección de Bases de DatosResumen
Señales de arquitectura seguras frente a insegurasMúltiples capas de seguridadAdopción y reinvenciónResumen

La mentalidad del hackerReconocimiento aplicado
Descubrimiento y explotación de XSSXSS almacenadoXSS reflejadoXSS basado en DOMXSS basado en mutacionesResumen
Manipulación de parámetros de consultaCargas útiles GET alternativasCSRF contra puntos finales POSTResumen
Directo XXEIndirecto XXEResumen
Inyección SQLInyección de códigoInyección de comandosResumen
regex DoS (ReDoS)Vulnerabilidades lógicas DoSDoS distribuidoResumen
Métodos de integraciónRamas y horquillasIntegraciones de aplicaciones autoalojadasIntegración del código fuenteGestores de paquetesJavaScriptJavaOtras lenguasBase de datos de vulnerabilidades y exposiciones comunesResumen
Arquitectura de software defensivaRevisiones exhaustivas del CódigoDescubrimiento de vulnerabilidadesAnálisis de vulnerabilidadGestión de vulnerabilidadesPruebas de regresiónEstrategias de mitigaciónTécnicas aplicadas de reconocimiento y ataque
Analizar los requisitos de las funcionesAutenticación y autorizaciónCapa de sockets seguros y seguridad de la capa de transporteCredenciales segurasHashing de credenciales2FAPII y Datos FinancierosBuscando enResumen
Cómo iniciar una revisión del códigoVulnerabilidades arquetípicas frente a errores lógicos personalizadosPor dónde empezar una revisión de seguridadAntipatrones de codificación seguraListas negrasCódigo estándarAntipatrón de confianza por defectoSeparación cliente/servidorResumen
Automatización de la seguridadAnálisis estáticoAnálisis dinámicoPruebas de regresión de vulnerabilidadesProgramas de divulgación responsableProgramas de recompensas por fallosPruebas de penetración de tercerosResumen
Reproducir vulnerabilidadesClasificación de la gravedad de la vulnerabilidadSistema común de puntuación de vulnerabilidadesCVSS: Puntuación baseCVSS: Puntuación temporalCVSS: Puntuación ambientalPuntuación avanzada de vulnerabilidadesMás allá del triaje y la puntuaciónResumen
Buenas prácticas de codificación Anti-XSSDesinfección de la entrada del usuarioDOMParser FregaderoFregadero SVGFregadero BlobDesinfección de hipervínculosCodificación de entidades HTMLCSSPolítica de seguridad de contenidos para la prevención de XSSFuente del guiónEval. insegura e Inline inseguraImplantar un CSPResumen
Verificación de cabeceraTokens CSRFTokens CSRF sin estadoBuenas prácticas de codificación anti-CRSFPeticiones GET sin estadoMitigación de CSRF en toda la aplicaciónResumen
Evaluación de otros formatos de datosRiesgos XXE avanzadosResumen
Mitigar la inyección SQLDetección de inyecciones SQLDeclaraciones preparadasDefensas específicas de la base de datosDefensas genéricas contra inyeccionesObjetivos potenciales de inyecciónPrincipio de mínima autoridadComandos de listas blancasResumen
Protección contra DoS RegexProtección contra la denegación de servicio lógicaProtección contra DDoSMitigación DDoSResumen
Evaluación de los árboles de relacionesModelar un árbol de relacionesÁrboles de dependencia en el mundo realEvaluación automatizadaTécnicas de integración segurasSeparación de preocupacionesGestión segura de paquetesResumen
Historia de la seguridad del softwareReconocimiento de aplicaciones webOfensaDefensa

Content preview from Seguridad de las aplicaciones web

Parte III. Defensa

Esta es la última parte de la Seguridad de las Aplicaciones Web. Basándonos en las dos partes anteriores, analizaremos en profundidad lo que implica crear una aplicación web moderna y completa.

En cada punto de nuestro análisis, consideraremos los riesgos y preocupaciones de seguridad significativos. En función de nuestras preocupaciones, evaluaremos implementaciones alternativas, así como mitigaciones que alivien el riesgo de seguridad.

A lo largo de este proceso, aprenderás técnicas que puedes integrar en tu ciclo de vida de desarrollo de software para reducir el número de vulnerabilidades encontradas en tu código de producción. Estas técnicas van desde la arquitectura de aplicación segura por defecto, a la evitación de antipatrones inseguros, pasando por una técnica de revisión del código orientada a la seguridad y contramedidas para tipos específicos de exploits.

Al final de esta parte, tendrás una base sólida en reconocimiento de aplicaciones web, técnicas ofensivas de pen-testing y desarrollo de software seguro. Una vez que completes la Parte III, puedes releer los puntos de interés de las dos primeras partes (pero con un contexto añadido), o pasar a aplicar tus nuevas habilidades en el mundo real.

Pasemos ahora a la Parte III y empecemos a aprender sobre la seguridad del software y las habilidades necesarias para crear aplicaciones web resistentes a los hackers.