Web Hacking 101 en Español - Cómo hacer dinero hackeando éticamente
Web Hacking 101 en Español - Cómo hacer dinero hackeando éticamente
Web Hacking 101 en Español - Cómo hacer dinero hackeando éticamente
Sobre este libro
Con un Prefacio escrito por los Co-fundadores de HackerOne Michiel Prins y Jobert Abma, Web Hacking 101 en Español trata sobre la exploración ética del software en busca de fallos de seguridad, pero aprender a hackear no siempre es fácil. A pesar de unas cuantas excepciones, los libros existentes son demasiado técnicos y solamente dedican un solo capítulo a las vulnerabilidades de sitios web o no incluyen ni un solo ejemplo del mundo real. Este libro es totalmente diferente.
Utilizando informes divulgados públicamente, Web Hacking 101 en Español explica muchas vulnerabilidades web y las herramientas que en algunos casos fueron utilizados. También te mostrará cómo iniciar la búsqueda de vulnerabilidades y obtener recompensas por tus hallazgos. Con más de 30 ejemplos, este libro cubre temas como:
- Inyección HTML
- Scripting de sitio cruzado (XSS)
- Falsificación de solicitud entre sitios cruzados (CSRF)
- Redirecciones abiertas (Open Redirection)
- Contaminación de parámetros HTTP (HPP)
- Inyección SQL (SQLi)
- Ejecución de código remoto (RCE)
- Problemas en la lógica de la Aplicación
- y muchas más...
Cada ejemplo incluye una clasificación del ataque, un enlace del informe, una descripción de fácil entendimiento sobre la falla, la recompensa obtenida (la mayoría de veces es una recompensa monetaria, otras son menciones en los salones de la fama de los hackers éticos en los sitios donde la vulnerabilidad fue encontrada, y otras veces la recompensa puede ser una camiseta o sudadera), y al final, se encuentran recomendaciones importantes para búsquedas futuras de ese mismo fallo. Después de leer el libro, tus ojos serán abiertos al amplio margen de vulnerabilidades web que existen y probablemente nunca volverás a ver un sitio web o una API de la misma manera.
Tabla de contenido
- Prefacio
- Introducción
- Trasfondo
-
Vulnerabilidades de Redirección Abierta
- Descripción
- Ejemplos
- Resumen
-
Contaminación de parámetros HTTP
- Descripción
- Ejemplos
- Resumen
-
Falsificación de solicitud de sitio cruzado
- Descripción
- Ejemplos
- Resumen
-
Inyección HTML
- Descripción
- Ejemplos
- Resumen
-
Inyeción de CRLF
- Descripción
- Ejemplos
- Resumen
-
Script de Sitio Cruzado
- Descripción
- Ejemplos
- Resumen
-
Inyección de plantilla
- Descripción
- Ejemplos
- Resumen
-
Inyección SQL
- Descripción
- Ejemplos
- Resumen
-
Falsificación de solicitud del lado del servidor
- Descripción
- Ejemplos
- Resumen
-
Entidades Externas de XML
- Descripción
- Ejemplos
- Resumen
-
Ejecución remota de código
- Descripción
- Ejemplos
- Resumen
-
La Memoria
- Descripción
- Ejemplos
- Resumen
-
Toma de control de un sub dominio
- Descripción
- Ejemplos
- Resumen
-
Condiciones de carrera
- Descripción
- Ejemplos
- Resumen
-
Referencias inseguras a objetos directos
- Descripción
- Ejemplos
- Resumen
-
OAuth
- Descripción
- Ejemplos
- Resumen
-
Vulnerabilidades en la lógica de la Aplicación
- Descripción
- Ejemplos
- Resumen
-
Empezando
- Recopilación de información
- Pruebas de aplicaciones
- Cavar más profundo
- Resumen
-
Informes de vulnerabilidad
- Lee las directrices de divulgación.
- Incluye detalles. Luego, incluye más.
- Confirmar la vulnerabilidad
- Muestra respeto por la Compañía
- Recompensas
- No grite Hola antes de cruzar el charco
- Palabras de despedida
-
Herramientas
- Burp Suite
- ZAP Proxy
- Knockpy
- HostileSubBruteforcer
- Sublist3r
- crt.sh
- IPV4info.com
- SecLists
- XSSHunter
- sqlmap
- Nmap
- EyeWitness
- Shodan
- Censys
- WhatCMS
- BuiltWith
- Nikto
- Recon-ng
- GitRob
- CyberChef
- OnlineHashCrack.com
- idb
- Wireshark
- Bucket Finder
- Race the Web
- Google Dorks
- JD GUI
- Framework de Seguridad Móvil (Mobile Security Framework)
- Ysoserial
- Plugins de Firefox
-
Recursos
- Entrenamiento en linea
- Plataformas de recompensas de errores
- Otras lecturas
- Blogs recomendados
- Hojas de trucos
- Glosario
-
Apéndice A - Recomendaciones
- Redirecciones Abiertas
- Contaminación de Parámetros HTTP
- Falsificación de solicitud de sitio cruzado
- Inyección HTML
- Inyecciones de CRLF
- Script de Sitio Cruzado
- SSTI / Inyección de Plantillas del Lado del Servidor
- Inyección de SQL
- Falsificación de solicitud del lado del servidor
- Entidades Externas de XML
- Ejecución remota de código
- La Memoria
- Toma de control de un sub dominio
- Condiciones de carrera
- Referencias inseguras a objetos directos
- OAuth
- Vulnerabilidades en la lógica de la Aplicación
- Apéndice B - Registro de cambios en Web Hacking 101
Leanpub incondicional, sin riesgo, 100% de felicidad garantizada
Durante los primeros 60 días de compra, puedes obtener un reembolso del 100% de cualquier compra Leanpub, en dos clics. Procesamos las restituciones manualmente, así que puede tomarse unos días en aparecer. Véase términos completos.
Que estés bien. Haz el bien.
Authors have earned$11,721,492writing, publishing and selling on Leanpub, earning 80% royalties while saving up to 25 million pounds of CO2 and up to 46,000 trees.
Learn more about writing on Leanpub
Actualizaciones gratis. Libre de DRM.
¡Si compras un libro Leanpub obtienes actualizaciones gratis siempre y cuando el autor actualice el libro! Varios autores usan Leanpub para publicar sus libros en progreso mientras los escriben. Todos los lectores obtienen actualizaciones gratis, independientemente de cuándo compraron el libro o cuánto pagaron (incluyendo si fue gratis).
La mayoría de los libros Leanpub se encuentran disponibles en PDF (para computadores), EPUB (para teléfonos y tabletas) y MOBI (para Kindle). Los formatos que un libro incluye se muestran en la esquina superior derecha de esta página.
Finalmente, los libros Leanpub no tienen ninguna de las cosas sin sentido sobre protección de copia DRM, así que puedes leerlos fácilmente en cualquier dispositivo que se soporta.
Aprende más sobre los formatos de Leanpub y dónde puedes leerlos
Top Books
Recipes for Decoupling
Matthias NobackWrite software that survives
CQRS by Example
Carlos Buenosvinos, Christian Soronellas, and Keyvan Akbary- Leverage your Software Architecture skills by learning everything about CQRS in detail with lots of examples
- Develop faster applications by applying CQRS and fostering Read Models and Projections
- Learn how to apply CQRS into a brownfield project from a pragmatic approach
OpenIntro Statistics
David Diez, Christopher Barr, Mine Cetinkaya-Rundel, and OpenIntroA complete foundation for Statistics, also serving as a foundation for Data Science.
Leanpub revenue supports OpenIntro (US-based nonprofit) so we can provide free desk copies to teachers interested in using OpenIntro Statistics in the classroom and expand the project to support free textbooks in other subjects.
More resources: openintro.org.
Maîtriser Apache JMeter
Philippe Mouawad, Bruno Demion (Milamber), and Antonio Gomes RodriguesToute la puissance d'Apache JMeter expliquée par ses commiteurs et utilisateurs experts. De l'intégration continue en passant par le Cloud, vous découvrirez comment intégrer JMeter à vos processus "Agile" et Devops.
If you're looking for the newer english version of this book, go to Master JMeter : From load testing to DevOps
C++20 - The Complete Guide
Nicolai M. JosuttisAll new language and library features of C++20 (for those who know previous C++ versions).
The book presents all new language and library features of C++20. Learn how this impacts day-to-day programming, to benefit in practice, to combine new features, and to avoid all new traps.
Buy early, pay less, free updates.
Other books:
Jetpack Compose internals
Jorge CastilloJetpack Compose is the future of Android UI. Master how it works internally and become a more efficient developer with it. You'll also find it valuable if you are not an Android dev. This book provides all the details to understand how the Compose compiler & runtime work, and how to create a client library using them.
Ansible for DevOps
Jeff GeerlingAnsible is a simple, but powerful, server and configuration management tool. Learn to use Ansible effectively, whether you manage one server—or thousands.
Mastering STM32 - Second Edition
Carmine NovielloWith more than 1200 microcontrollers, STM32 is probably the most complete ARM Cortex-M platform on the market. This book aims to be the most complete guide around introducing the reader to this exciting MCU portfolio from ST Microelectronics and its official CubeHAL and STM32CubeIDE development environment.
Rector - The Power of Automated Refactoring
Matthias Noback and Tomas VotrubaLearn how to automatically and continuously upgrade and improve your PHP code base
The Hundred-Page Machine Learning Book
Andriy BurkovEverything you really need to know in Machine Learning in a hundred pages.
Top Bundles
- #2
CCIE Service Provider Ultimate Study Bundle
2 Books
Piotr Jablonski, Lukasz Bromirski, and Nick Russo have joined forces to deliver the only CCIE Service Provider training resource you'll ever need. This bundle contains a detailed and challenging collection of workbook labs, plus an extensively detailed technical reference guide. All of us have earned the CCIE Service Provider certification... - #3
Pattern-Oriented Memory Forensics and Malware Detection
2 Books
This training bundle for security engineers and researchers, malware and memory forensics analysts includes two accelerated training courses for Windows memory dump analysis using WinDbg. It is also useful for technical support and escalation engineers who analyze memory dumps from complex software environments and need to check for possible... - #4
Software Architecture
2 Books
"Software Architecture for Developers" is a practical and pragmatic guide to modern, lightweight software architecture, specifically aimed at developers. You'll learn:The essence of software architecture.Why the software architecture role should include coding, coaching and collaboration.The things that you really need to think about before... - #5
Static Analysis and Automated Refactoring
2 Books
As PHP developers we are living in the "Age of Static Analysis". We can use a tool like PHPStan to learn about potential bugs before we ship our code to production, and we can enforce our team's programming standards using custom PHPStan rules. Recipes for Decoupling by Matthias Noback teaches you in great detail how to do this, while also... - #9
All the Books of The Medical Futurist
6 Books
We put together the most popular books from The Medical Futurist to provide a clear picture about the major trends shaping the future of medicine and healthcare. Digital health technologies, artificial intelligence, the future of 20 medical specialties, big pharma, data privacy, digital health investments and how technology giants such as Amazon...