Todo se puede aprender
...si se quiere.
Home » , » Web Hacking 101 en Español - Cómo Hacer Dinero Hackeando Éticamente

Web Hacking 101 en Español - Cómo Hacer Dinero Hackeando Éticamente

24 de junio de 2018 | 18:49

Éramos jóvenes. Como todos los hackers que estuvieron antes que nosotros, y todos los que  vendrán después. Éramos conducidos por una incontrolable y candente curiosidad por entender cómo funcionaban las cosas. Mayormente fuimos jugadores de vídeo juegos por computadora y ya por la edad de los 12 años decidimos aprender por nosotros mismos cómo construir software. Aprendimos cómo programar en Visual Basic y PHP con libros de la biblioteca y obviamente con la práctica.
Con nuestro entendimiento del desarrollo de software, rápidamente descubrimos que esas habilidades nos permitieron encontrar los errores de otros desarrolladores. Cambiamos la construcción por el rompimiento y es así como el hacking ha sido nuestra pasión desde entoces. Para celebrar nuestra graduación de la escuela secundaria, tomamos el control de un canal de servicios de televisión abierta y pusimos un anuncio felicitando a nuestra clase de graduación. Mientras con el pasar del tiempo nos divertíamos, también aprendimos rápidamente que hay consecuencias y que ese no es el tipo de hackers que el mundo necesita. La estación de televisión y la escuela no se divirtieron con nosotros y fue así que pasamos ese verano limpiando ventanas como nuestro castigo. Ya en la Universidad, volvimos nuestras habilidades en un negocio de consultoría viable, que en su apogeo, teníamos clientes en el sector público y privado en todo el mundo. Nuestra experiencia en el hacking nos llevó hacia HackerOne, una compañía que fundamos en conjunto en el 2012. Quisimos permitir a cada compañía en el universo que trabajara con hackers de forma satisfactoria, y esa idea continúa siendo la misión de HackerOne hoy en día.
Si estás leyendo esto, tú también tienes la curiosidad necesaria para ser un hacker y cazador de errores. Creemos que este libro será una tremenda guía a lo largo de tu jornada. El libro está lleno con una rica cantidad de ejemplos de reportes de vulnerabilidades del mundo real que resultaron en recompensas reales por encontrar esos fallos. Estos ejemplos están acompañados de un análisis muy útil y su respectiva revisión por parte de Pete Yaworsky, quien es el autor y un colega hacker. Él es tu compañero a medida que aprendas, y eso es muy valioso.
Otra razón por la que este libro es muy importante, es que te enfoca en cómo convertirse en un hacker ético. Dominar el arte del hacking puede ser una habilidad extremadamente poderosa que esperamos sea usada para el bien. Los hackers más exitosos saben como navegar entre la línea delgada de lo correcto y lo incorrecto mientras hackean. Muchas personas pueden romper cosas y aún así intentar hacer dinero fácil haciendo eso. Pero, imagínate hacer la Internet cada vez más segura, trabajar con compañías impresionantes alrededor del mundo y que paguen por tus hallazgos. Tu talento tiene el potencial de mantener seguros a billones de personas juntamente con sus datos. Eso esperamos que sea a lo que aspires.

Indice

Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Trasfondo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Inyección HTML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Contaminación de parámetros HTTP . . . . . . . . . . . . . . . . . . . . . . . . 20
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Inyeción de CRLF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Falsificación de solicitud de sitio cruzado . . . . . . . . . . . . . . . . . . . . 31
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Vulnerabilidades en la lógica de la Aplicación . . . . . . . . . . . . . . . . . 37
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Ataques de Script de Sitio Cruzado (Cross-Site Scripting) . . . . . . . ..56
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Inyección SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Vulnerabilidades de Redirección Abierta . . . . . . . . . . . . . . . . . . . . . . 81
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Toma de control de un sub dominio . . . . . . . . . . . . . . . . . . . . . . . . . . 85
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Entidades Externas de XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Ejecución remota de código . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Inyección de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Falsificación de solicitud del lado del servidor . . . . . . . . . . . . . . . . . .115
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
La Memoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
    Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
    Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Empezando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
    Recopilación de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
    Pruebas de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
    Cavar más profundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132
    Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Informes de vulnerabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
    Lee las directrices de divulgación. . . . . . . . . . . . . . . . . . . . . . . . . . . 135
    Incluye detalles. Luego, incluye más. . . . . . . . . . . . . . . . . . . . . . . . . 135
    Confirmar la vulnerabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136
    Muestra respeto por la Compañía . . . . . . . . . . . . . . . . . . . . . . . . . . .136
    Recompensas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
    No grite Hola antes de cruzar el charco . . . . . . . . . . . . . . . . . . . . . .138
    Palabras de despedida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139
Herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
    Burp Suite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
    ZAP Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
    Knockpy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
    HostileSubBruteforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
    Sublist3r . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
    crt.sh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
    SecLists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
    sqlmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
    Nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
    EyeWitness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
    Shodan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
    WhatCMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
    BuiltWith . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
    Nikto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
    Recon-ng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
    idb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
    Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
    Bucket Finder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
    Google Dorks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
    IPV4info.com . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
    JD GUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
    Framework de Seguridad Móvil (Mobile Security Framework) . . . . 146
    Plugins de Firefox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
    Entrenamiento en linea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  149
    Plataformas de recompensas de errores . . . . . . . . . . . . . . . . . . . . . . .149
    Otras lecturas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
    Blogs recomendados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
    Hojas de trucos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155





Hosting: Drive (Descarga Directa Para Desktop y Mobile)
Archivo: Pdf
Idioma: Español
Peso: (6,94 MB)

Mastering Bitcoin
Compartir