En este glosario de Web For Pentester, veremos las definiciones de términos más importantes para aprender a utilizar este entorno virtual de práctica de hacking web.
Glosario de Web For Pentester
Web For Pentester
Web For Pentester es un entorno virtual de práctica de hacking web. Es decir, sirve para hospedar una aplicación web deliberadamente vulnerable con el fin de practicar ciberataques de manera legal en ella. Así pues, es una herramienta que sirve para practicar conocimientos de pentesting web y entender cómo funcionan los principales ciberataques que se ven a diario en la web.
Web For Pentester se instala por medio de una máquina virtual, que contiene los servidores que hospedan la app vulnerable. De este modo, no se perjudica a nadie al vulnerar la aplicación con técnicas de hacking web.
XSS
En este glosario de Web For Pentester, veremos los diferentes tipos de ciberataques que se pueden practicar en este entorno. El primero de ellos es el XSS.
El cross-site scripting (XSS) es un tipo de ciberataque web que consiste en inyectar código JavaScript en el navegador de un usuario por medio de la explotación de una vulnerabilidad en una página web. Los fallos de seguridad que permiten ejecutar estos ataques son faltas de validación de los inputs de los usuarios, ya que estos se utilizan para ejecutar código en el navegador y, por eso, se pueden aprovechar para tareas maliciosas.
SQL Inyection
Existen diferentes tipos de inyección de código que veremos en este glosario de Web For Pentester. Al igual que el XSS, la inyección SQL también es un ciberataque de este tipo.
La inyección SQL es un ciberataque que consiste en ejecutar comandos en código SQL para extraer, modificar, añadir o eliminar información en una base de datos de una aplicación. Al igual que en el caso del XSS, la inyección SQL se produce a causa de una falta de validación de los inputs del lado del cliente. De este modo, se pueden usar consultas en bases de datos con el fin de ejecutar código en el servidor de la aplicación.
Directory traversal
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEl ciberataque de directory traversal, también conocido como path traversal o salto de directorios, permite acceder a ficheros confidenciales del servidor por medio de una vulnerabilidad de la aplicación. De este modo, se pueden poner bajo compromiso datos sensibles sobre los clientes de la app, sobre todo de quienes se encuentran registrados en ella.
File include
La vulnerabilidad de file include o file inclusion es similar a la de path traversal, excepto porque permite ejecutar ficheros que se encuentren en el servidor de la aplicación. Mientras que, en la anterior, solo se imprimen en pantalla archivos de texto, por medio del file include es posible hacer ejecución de código.
File upload
File upload es una sección de Web For Pentester que presenta una vulnerabilidad de subida de ficheros. Este fallo de seguridad consiste en una falta de validación del tipo de archivo que puede subir un usuario a las bases de datos de una aplicación. De este modo, se pueden instalar webshells o malwares en el servidor de la app. Así pues, se puede tomar control total y hacer una ejecución remota de código en el servidor comprometido.
¿Cómo aprender más?
Ya hemos visto este glosario de Web For Pentester. Si quieres aprender a practicar ciberataques en esta aplicación, en KeepCoding tenemos el mejor curso intensivo de hacking ético y seguridad informática para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un especialista en este ámbito en tan solo 7 meses. ¡Aprender sobre temas como pentesting, criptografía, análisis de malware, blue team/red team y mucho más está al alcance de tu mano! Atrévete a cambiar tu vida y entra para pedir más información.
