En este post damos introducción a una serie de post orientados al Hacking Web, es un tema bastante importante en la seguridad ofensiva, por lo tanto es indispensable que como analistas de ciberseguridad y pentesters tengamos bajo la manga esta habilidad, sin más por el momento comenzamos.
¿Qué es el Hacking Web?
El hacking web es una rama de la ciberseguridad ofensiva, la cual se encarga de identificar y explotar vulnerabilidades en aplicaciones web y así mismo obtener acceso no autorizado. Claramente es con el objetivo meramente ético de mejorar la seguridad de la aplicación y evitar que posteriormente la comprometa un atacante malicioso.
¿Qué aprenderemos en esta serie?
🧠 Fundamentos
▪ Preparar herramientas
▪ HTTP Request | HTTP Response
🔎 Reconocimiento
La recopilación de información sobre el objetivo es la parte esencial antes de comenzar la auditoría, ya que reuniremos todos los hallazgos suficientes para poder seguir con las siguientes etapas de la prueba. Esta fase consta de diferentes enfoques, por ejemplo:
▪ identificación de subdominios
▪ Tecnologías utilizadas
▪ Versiones de software
📋 Enumeración y análisis de superficies de ataque
▪ Fuzzing de directorios (encontrar directorios ocultos)
▪ Identificar parametros URL, API, Formularios
▪ Revisión de código fuente
💣 Identificación y Explotación de Vulnerabilidades
Server Side Vulnerabilities
🚩 Command Injection
🚩 Path traversal
🚩 Server-side request forgery (SSRF)
🚩 SQL injection
🚩 File upload vulnerabilities
🚩 Information disclosure vulnerabilities
Client-Side Vulnerablities
🚩 Cross-site Scripting
🚩 Clickjacking
🚩 CORS-Cross-Origin Resource Sharing
🚩 CSRF-Cross-side Request Forgery
Conclusión
Espero que esta introducción te entusiasme tanto como a mi, ya que vamos aprender bastantes cosas desde 0 y con un enfoque práctico, no tienes que tener algún conocimiento sobre hacking o aplicaciones web, aquí vamos a ir paso a paso.
Rojo Security 