¿Eres vulnerable a un ataque de Directory Traversal? Aplicación de la OTG-AUTHZ-001 con OWASP ZAP

La vulnerabilidad de Directorio Transversal (más conocida por Directory o Path Traversal), ocurre cuando no hay una gestión correcta (validación, autorización) de los parámetros provenientes del lado del cliente, específicamente aquellas relacionadas con accesos a determinados archivos. Por tanto, un atacante puede manipular los puntos de entrada y construir rutas a través de las directivas…

Análisis de la shellcode IndoXploit

La explotación de vulnerabilidades en aplicaciones web no constituye un fin mismo para los ciberdelincuentes. El verdadero objetivo del ataque se manifiesta en la etapa de post-explotación, donde se ejecuta el código dañino definitivo, más conocido por el término payload o carga útil en español. Las shellcode son un tipo de payload muy utilizado en…

Apuntes sobre el Referer spoofing, el Referer spam y otros problemas de seguridad relacionados

Los problemas de seguridad relacionados con el mal uso de campo de encabezado de petición HTTP/1.1 Referer son muy diversos. Algunos son de tipo “molestos” y otros son francamente dañidos,  algunas son vulnerabilidades resultantes de malas prácticas de programación y otras son abiertamente intencionadas. En esta entrada abordaremos estos temas. Esta entrada fue escrita mano…