From cb1cebbcda2868f49550c015820fe81af21f322c Mon Sep 17 00:00:00 2001 From: Manuel Vergara Date: Wed, 21 Feb 2024 00:32:38 +0100 Subject: [PATCH] wip --- .../tema_6_owasp/README5.md | 14 +++++++++++++- 1 file changed, 13 insertions(+), 1 deletion(-) diff --git a/Introduccion-hacking-hack4u/tema_6_owasp/README5.md b/Introduccion-hacking-hack4u/tema_6_owasp/README5.md index 76a5416..a59d9a9 100644 --- a/Introduccion-hacking-hack4u/tema_6_owasp/README5.md +++ b/Introduccion-hacking-hack4u/tema_6_owasp/README5.md @@ -39,6 +39,7 @@ A continuación, se proporciona el enlace al proyecto de Github que utilizamos p - crAPI: https://github.com/OWASP/crAPI + ## 6.17.1 Ejercicio __DISCLAIMER:__ @@ -92,9 +93,19 @@ He detallado la request y el response porque es en lo que tendremos que fijarnos ![jwt](https://miro.medium.com/v2/resize:fit:1400/1*aAH0mMomx1dLidhoNCVmNw.png) - ## 6.18 Abuso de subidas de archivos +El abuso de subidas de archivos es un tipo de ataque que se produce cuando un atacante aprovecha las vulnerabilidades en las aplicaciones web que permiten a los usuarios cargar archivos en el servidor. Este tipo de ataque se conoce comúnmente como un ataque de “subida de archivos maliciosos“. + +En un ataque de subida de archivos maliciosos, un atacante carga un archivo malicioso en una aplicación web, que luego se almacena en el servidor. Si por ejemplo el atacante consigue subir un archivo PHP y el servidor web lo almacena, podría conseguir ejecución remota de comandos y tomar el control del servidor. + +Los atacantes también pueden utilizar técnicas de “falsificación de tipos de archivos” para engañar a una aplicación web con el objetivo de que acepte un archivo malicioso como si fuera un archivo legítimo. + +En esta clase, exploraremos algunas de las técnicas más utilizadas para explotar la fase de subida de archivos en aplicaciones web. Aprenderás cómo los atacantes pueden cargar contenido malicioso, además de eludir diferentes restricciones implementadas para lograrlo. + +A continuación, se os comparte el enlace al proyecto de Github el cual estaremos empleando para desplegar un laboratorio práctico en Docker con el que poder practicar estos conceptos: + +- File Upload Laboratory: https://github.com/moeinfatehi/file_upload_vulnerability_scenarios ## 6.19 Prototype Pollution @@ -106,6 +117,7 @@ He detallado la request y el response porque es en lo que tendremos que fijarnos + [README.md principal](README.md) [README4.md](README4.md) <--> [README6.md](README6.md)