En este glosario de hacking web, aprenderás sobre algunos conceptos y herramientas esenciales para esta rama de la ciberseguridad.
Glosario de hacking web
DVWA
Damn Vulnerable Web App (DVWA) es un aplicación llena de vulnerabilidades que se desarrolló de este modo a propósito. En ella, puedes practicar ciberataques web de forma segura, pues está diseñada específicamente para eso.
Ejecutar técnicas de hacking en sitios web sin autorización se considera un delito. Por eso, existen este tipo de entornos legales de práctica, que permiten poner en práctica conceptos de ciberseguridad sin perjudicar a nadie y, así, entender cómo funcionan los ciberataques. En esta app, encontrarás ejercicios para:
- Fuerza bruta.
- Ejecución de comandos.
- Cross-site Request Forgery.
- Inclusión de archivos.
- Inyección SQL.
- Cross-site scripting reflejado.
- Cross-site scripting persistente.
Web For Pentester
Web For Pentester es un entorno virtual de práctica de hacking web muy similar a la aplicación de DVWA. No obstante, Web For Pentester es más sencillo de instalar, ya que se hace por medio de una máquina virtual con servidores vulnerables, que fue diseñada por la empresa PentesterLab. En la página de esta empresa, encontrarás instrucciones sobre cómo hacer ciberataques de:
- Cross-site Scripting.
- Inyecciones SQL.
- Path traversal.
- Inclusión de archivos.
- Inyección de código.
- Inyección de comandos.
- Ataques LDAP.
- Ataques XML.
OWASP Top 10
Ya hemos visto, en este glosario de hacking web, dos entornos virtuales de práctica para hacer ciberataques de forma totalmente segura y legal. Ahora, veremos más herramientas útiles para ti.
OWASP Top 10 es una lista desarrollada por la empresa Open Web Application Security Project, que es una organización sin ánimo de lucro para fomentar la seguridad en la web. En esta lista se encuentran los diez ciberataques web más comunes y, además, se actualiza periódicamente según el cambio de las estadísticas.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaOWASP Top 10 es la guía ideal para hacer una auditoría de seguridad, ya que revela cuáles son los fallos de seguridad más comunes a encontrar en aplicaciones web.
Burp Suite
Burp Suite es una plataforma con versiones gratis y de pago que se especializa en ejecutar funciones para pentesting de aplicaciones web. Una de sus herramientas más utilizadas es su función de proxy HTTP, que permite interceptar, modificar, aceptar o rechazar cada petición que se realiza a un sitio web.
Burp Suite es una herramienta imprescindible para hacer auditorías de seguridad, viene preinstalada en Kali Linux y te será muy útil para practicar en entornos de prueba, como DVWA y Web For Pentester.
Inyección de código
De acuerdo con la lista de OWASP Top 10, la inyección de código es el tercer ciberataque más utilizado en contra de aplicaciones web. No obstante, existen diferentes tipos de inyección de código, como, por ejemplo:
- Inyección de comandos: permite ejecutar comandos de Linux en el servidor de una página web, concatenándolos por medio de su dirección URL.
- Inyección SQL: permite ejecutar comandos en lenguaje SQL, para interactuar con las bases de datos de una aplicación web. Permiten leer, borrar, añadir y modificar datos de estas tablas.
- Cross-site scripting: permite ejecutar código JavaScript en el navegador de un usuario, por medio de una vulnerabilidad presente en una aplicación.
Vulnerabilidades de sesión
Por último, en este glosario de hacking web hablaremos sobre uno de los principales tipos de vulnerabilidades que encontrarás presentes en aplicaciones web. Las vulnerabilidades de sesión están relacionadas con los protocolos de autenticación de usuarios registrados en las aplicaciones. Dentro de ellas, se encuentran algunas como:
- Contraseñas demasiado débiles.
- Uso de canales sin cifrar.
- Exceso de permisos para los usuarios.
- Robo de tokens de sesión.
¿Cómo aprender más?
Ya hemos visto este glosario de hacking web a través de algunos de los conceptos más importantes de esta rama de la ciberseguridad. Si quieres aprender mucho más sobre técnicas de hacking, ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. ¡No sigas esperando y pide ahora más información para empezar a cambiar tu vida!