🛡️
Hacking para Juniors - [CPPJ]
Comprar cursoYouTubeTwitterLinkedIn
  • La Biblia del Hacker
    • ADVERTENCIA
    • Aprende GRATIS con El Curso De Junior a Senior en Hacking
    • Conoce tu Academia
    • Aprende con nuestro curso
    • Conoce a tu instructor
  • Fundamentos de la ciberseguridad ofensiva
    • ¿Que es el Ethical Hacking?
      • Tipos de Hackers
        • APTs (Advanced Persistent Threats)
    • ¿Que es el pentesting?
      • Tipos de Caja en Pentesting
      • Tipos de tecnologia
      • Etapas de un pentest
        • Escalacion de privilegios
    • ¿Qué es un CVE?
    • ¿Que es un escaneo de vulnerabilidades?
    • ¿Que es un Red Team?
      • Command and Control
    • ¿Que es la ingenieria social?
      • Kevin Mitnick
      • Libros Recomendados
    • El papel de los Juniors y la IA
  • OSINT for Juniors
    • Open-source intelligence (OSINT)
    • Tipos de fuentes OSINT
    • Herramientas para OSINT
    • Dorks de Google
  • OS for Juniors
    • Introduccion a Sistemas Operativos
    • Archivo y extensiones
    • Windows
      • Estructura del SO
        • Kernel De Windows
        • Servicios Importantes
        • Procesos en Windows
        • Registros en Windows
        • Gestion de archivos en Windows
      • Versiones relevantes
      • La importancia de identificar la version de windows durante una auditoria
      • Tips
    • Linux
      • Tips
    • Android
      • Versiones relevantes
      • Tips
    • IOS
      • Versiones Relevantes
      • Tips
    • macOS
      • Versiones Relevantes
      • Tips
    • Sistemas operativos para Hackers
    • Instalacion de Kali Linux
  • Networking for Juniors
    • ¿Que es el Networking?
    • Fundamentos de Redes
    • Estructura de Redes
    • Topologías de Red
    • Modelo OSI (Open Systems Interconnection)
    • Modelo TCP/IP
    • IP (Internet Protocol)
    • TCP (Transmission Control Protocol)
    • UDP (User Datagram Protocol)
    • Protocolos de red
      • Protocolos de la capa de acceso al medio
      • Protocolos de la capa de red
      • Protocolos de la capa de transporte
      • Protocolos de la capa de aplicación
      • Protocolos de aplicación en correo electrónico
    • Puertos y servicios
      • Puerto 21: FTP
      • Puerto 22: SSH
      • Puerto 23: Telnet
      • Puerto 25: - SMTP
      • Puerto 53: DNS
      • Puerto 80: HTTP
      • Puerto 443: HTTPS
      • Puerto 139 y 445: SMB - CIFS
      • Puerto 3389: RDP
      • Puerto 389: LDAP
      • Puerto 5000: Docker
      • Puerto 5900: VNC
  • Nmap for Juniors
    • ¿Que es Nmap?
    • Tu Primer Nmap
    • Parametros de Nmap
    • Comandos utiles
    • Scripts de Nmap
  • Wi-Fi y Radiofrecuencias
    • Fundamentos de Wireless
    • Fundamentos del Hacking de Wi-Fi
    • Fundamentos en Radiofrecuencias
    • RFID (Radio Frequency Identification)
    • Infrarrojo (IR)
    • Bluetooth
    • NFC (Near Field Communication)
    • Herramientas de un hacker
    • Fundamentos en Hardware Hacking
  • AppWeb For Juniors
    • ¿Porque deberia aprender hacking web?
    • Fundamentos de Aplicaciones Web
      • Códigos de estado HTTP
    • Fundamentos de APIs
      • Métodos HTTP
      • Practica Gratis
    • Cabeceras de seguridad
    • Analisis de certificados SSL
    • Mecanismos de autenticacion y autorizacion en AppWeb
    • Atacando CMS
    • La Seguridad en el Desarrollo de Aplicativos: Frameworks vs. Desarrollo Manual
    • OWASP Top Ten
  • Databases for Juniors
    • ¿Base de Datos?
      • SQL
      • NoSQL
    • Puerto 6379: Redis
    • Puerto 27017: MongoDB
    • Puerto 5432: PostgreSQL
    • Puerto 3306: MySQL
    • Puerto 1433: Microsoft SQL Server
    • Puerto 1521: - Oracle Database
  • Transferencia de Archivos
    • Introduccion a la Transferencia de archivos
    • Descargando desde Windows
      • Utilizando LOLBAS
    • Descargando desde Linux
    • Despliegue de servicio HTTP
    • Despliegue de servicio SMB
    • Despligue de servicio FTP
    • Utilizando Base64
  • Fundamentos en Vulnerabilidades
    • ¿Qué es una Vulnerabilidad?
    • ¿Qué es un 0day?
    • Common Vulnerabilities and Exposures - [CVE]
    • RCE (Remote Code Execution)
    • Buffer Overflow
  • Malware For Junior
    • ¿Que es Malware?
    • ¿Que es un AntiVirus?
      • Microsoft Defender
    • ¿Que es un EDR?
      • Mejores EDRs actuales
    • Desarrollo de Malware
    • Malware for Windows
      • Golang
      • Nim
      • C#
    • Ofuscacion de Malware
  • Shell
    • ¿Shell?
      • CMD (Command Prompt) en Windows
      • PowerShell en Windows
      • Bash en Unix/Linux
    • ¿Reverse Shell?
    • ¿Web Shell?
    • ¿Bind Shell?
    • Enumeracion de Windows
    • Enumeracion de Linux
  • Privilege Escalation for Juniors
    • ¿Que es la escalacion de privilegios?
    • PrivEsc For Windows
      • WinPEAS
    • PrivEsc For Linux
      • LinPEAS
    • PrivEsc For Active Directory
    • PrivEsc For Cloud Computing
  • Tecnicas de persistencia
    • Fundamentos de Persistencia
    • Persistencia en Windows
    • Persistencia en Linux
    • Persistencia Avanzada
  • Pivoting for Juniors
    • ¿Que es pivoting?
    • ¿Que es Socks?
    • Doble Pivoting y Triple Pivoting
    • RPivot y Chisel
  • Active Directory For Juniors
    • Fundamentos de Active Directory
    • Utilizando ADPeas para el reconocimiento
  • Cloud Computing For Juniors
    • Fundamentos de cloud computing
    • Amazon Web Services
    • Microsoft Azure
    • Google Cloud Platform
  • Introduccion a Blue Team
    • ¿Blue Team?
    • ¿SOC?
    • ¿Threat Hunting?
    • SIEM (Security Information and Event Management)
    • La fatiga del SOC
    • ¿SOAR?
  • Defensas y herramientas de seguridad perimetral
    • Soluciones de Seguridad Perimetral Esenciales
    • Firewall
    • IDS (Intrusion Detection System)
    • IPS (Intrusion Prevention System)
    • WAF (Web Application Firewall)
    • Firewalls de Próxima Generación (NGFW)
    • Gateways de Seguridad Web (SWG)
    • Gateways de Seguridad de Correo Electrónico (SEG)
    • Sistemas de Prevención de Fugas de Datos (DLP)
    • Network Access Control (NAC)
  • Muchas gracias
    • 🛡️ ¡Muchísimas Gracias por Participar! 🛡️
    • Importante
Con tecnología de GitBook
En esta página
  • OWASP Top Ten 2021
  • 1. Broken Access Control
  • 2. Cryptographic Failures (Anteriormente "Sensitive Data Exposure")
  • 3. Injection
  • 4. Insecure Design
  • 5. Security Misconfiguration
  • 6. Vulnerable and Outdated Components
  • 7. Identification and Authentication Failures (Anteriormente "Broken Authentication")
  • 8. Software and Data Integrity Failures
  • 9. Security Logging and Monitoring Failures
  • 10. Server-Side Request Forgery (SSRF)

¿Te fue útil?

  1. AppWeb For Juniors

OWASP Top Ten

El OWASP Top Ten es una lista de las diez vulnerabilidades más críticas en aplicaciones web, publicada por el Open Web Application Security Project (OWASP). Esta lista sirve como un recurso fundamental para desarrolladores, auditores de seguridad y profesionales de la ciberseguridad para entender y mitigar las amenazas más prevalentes en el desarrollo de aplicaciones web.

OWASP Top Ten 2021

1. Broken Access Control

  • Descripción: La falta de controles de acceso adecuados permite a los usuarios acceder a datos y funcionalidades no autorizadas.

  • Impacto: Puede llevar a la exposición de información sensible y acciones no autorizadas.

  • Mitigación: Implementar y validar controles de acceso robustos y realizar revisiones periódicas de los permisos.

2. Cryptographic Failures (Anteriormente "Sensitive Data Exposure")

  • Descripción: Fallos en la protección de datos sensibles debido a una criptografía inapropiada.

  • Impacto: Puede resultar en la exposición de información crítica como datos financieros y personales.

  • Mitigación: Utilizar algoritmos criptográficos seguros, implementar HTTPS y asegurar la protección de datos en tránsito y en reposo.

3. Injection

  • Descripción: La inserción de datos no confiables en una consulta o comando, permitiendo la ejecución de código malicioso.

  • Impacto: Puede resultar en acceso no autorizado a datos, manipulación de datos o incluso control total del servidor.

  • Mitigación: Validar y sanitizar todas las entradas del usuario, utilizar declaraciones preparadas y consultas parametrizadas.

4. Insecure Design

  • Descripción: Falta de medidas de seguridad integradas en el diseño de la aplicación.

  • Impacto: Introduce vulnerabilidades desde la fase de diseño que pueden ser difíciles de mitigar más adelante.

  • Mitigación: Incorporar prácticas de diseño seguro desde el inicio del desarrollo y realizar revisiones de seguridad en todas las fases del ciclo de vida del desarrollo.

5. Security Misconfiguration

  • Descripción: Configuraciones incorrectas de seguridad, como configuraciones predeterminadas inseguras y exposición de servicios innecesarios.

  • Impacto: Puede llevar a la explotación de vulnerabilidades conocidas y acceso no autorizado.

  • Mitigación: Revisar y aplicar configuraciones seguras, deshabilitar servicios y funcionalidades no utilizadas y realizar auditorías de configuración regularmente.

6. Vulnerable and Outdated Components

  • Descripción: Uso de componentes de software con vulnerabilidades conocidas.

  • Impacto: Exposición a vulnerabilidades explotables que pueden comprometer la seguridad de la aplicación.

  • Mitigación: Mantener componentes y dependencias actualizadas, utilizar herramientas de gestión de vulnerabilidades y monitorear las actualizaciones de seguridad.

7. Identification and Authentication Failures (Anteriormente "Broken Authentication")

  • Descripción: Fallos en la implementación de mecanismos de autenticación y gestión de sesiones.

  • Impacto: Puede permitir el acceso no autorizado y la suplantación de identidad.

  • Mitigación: Implementar controles robustos de autenticación y gestión de sesiones, utilizar autenticación multifactor y proteger las credenciales almacenadas.

8. Software and Data Integrity Failures

  • Descripción: Falta de integridad en el software y datos, permitiendo la manipulación no autorizada.

  • Impacto: Puede llevar a la ejecución de código malicioso y pérdida de integridad de datos.

  • Mitigación: Utilizar firmas digitales, integridad de archivos y controles de acceso adecuados.

9. Security Logging and Monitoring Failures

  • Descripción: Falta de registros y monitoreo de eventos de seguridad, lo que impide la detección y respuesta a incidentes.

  • Impacto: Puede resultar en la falta de visibilidad sobre los ataques y retrasos en la respuesta a incidentes.

  • Mitigación: Implementar logging y monitoreo exhaustivo, asegurar la integridad de los logs y establecer procedimientos de respuesta a incidentes.

10. Server-Side Request Forgery (SSRF)

  • Descripción: Permite a los atacantes hacer solicitudes desde el servidor de la aplicación a otros recursos internos o externos.

  • Impacto: Puede permitir el acceso no autorizado a recursos internos y la exposición de datos sensibles.

  • Mitigación: Validar y sanitizar todas las entradas, utilizar listas de control de acceso y restringir el acceso a recursos internos.

AnteriorLa Seguridad en el Desarrollo de Aplicativos: Frameworks vs. Desarrollo ManualSiguiente¿Base de Datos?

Última actualización hace 11 meses

¿Te fue útil?