web
7 artículos con esta etiqueta
Qué es CORS: cómo funciona y qué expone una mala configuración
CORS es cómo el navegador controla si el JS de otro origen puede leer las respuestas de tu API. Una mala configuración —reflejar cualquier Origin, o Access-Control-Allow-Origin:* con credenciales— deja que un tercero lea datos con sesión iniciada. La defensa real: una lista de permitidos, no reflejar el Origin a ciegas, denegar por defecto.
Qué es la fijación de sesión: hacer que una víctima inicie sesión con un ID que el atacante ya conoce
La fijación de sesión hace que una víctima use un ID de sesión conocido por el atacante, y luego la suplanta después de que inicie sesión con él. La defensa real: regenerar el ID de sesión al iniciar sesión (y al cambiar de privilegios). No aceptes IDs desde la URL y refuerza las cookies con HttpOnly/Secure/SameSite.
Qué es el clickjacking: trampas invisibles que te hacen pulsar botones ocultos
El clickjacking superpone de forma invisible tu sitio real sobre la página del atacante para que el usuario realice una acción no deseada (una transferencia, un cambio de configuración, un consentimiento). La defensa real es negarse a ser enmarcado: CSP frame-ancestors más X-Frame-Options.
Qué es la redirección abierta (open redirect): tu URL de confianza usada como trampolín hacia otro sitio
Una redirección abierta permite que un parámetro tipo ?next= reenvíe a los usuarios a cualquier sitio externo, tomando prestada la confianza de tu dominio para el phishing. La defensa real: nunca aceptar URLs externas como destino de redirección; solo rutas relativas y una lista de permitidos.
Qué es el path traversal (recorrido de rutas): leer archivos que el servidor nunca debería servir, mediante ../
El path traversal mezcla ../ en una entrada de nombre de archivo para escapar del directorio base y leer o escribir .env, configuración o claves. La defensa real: nunca usar la entrada del usuario como ruta de archivo en bruto, y normalizar y luego confinar dentro de un directorio base permitido.
Qué es CSRF (Cross-Site Request Forgery): hacer que un usuario con sesión iniciada actúe sin querer
CSRF hace que el navegador de un usuario con sesión iniciada envíe una acción no deseada, abusando de la costumbre del navegador de adjuntar cookies automáticamente. La defensa real son los tokens CSRF más las cookies SameSite. Nunca uses GET para cambios de estado.
Qué es el XSS (Cross-Site Scripting): código ejecutándose en el navegador de otra persona
El XSS hace que una cadena proporcionada por el atacante se ejecute 'como script' en el navegador de otro usuario: directo al robo de sesión y la suplantación. La defensa real es el escape en la salida. No desactives el autoescape de tu framework.