2

Web Application Penetration Testing (Glosario)

security-banner-binoculars-sm-1024x274.jpg
  • Arachni: Herramienta de ataque y auditoría de aplicaciones web.

  • Armitage: Una herramienta de colaboración de equipo rojo con scripts para Metasploit que visualiza. objetivos, recomienda explotaciones y expone las características avanzadas de post-explotación.

  • Beef: Una herramienta para obtener el control del navegador de la víctima en un proceso de varios pasos.

  • Blind SQLI: Un tipo de inyección SQL es similar al clásico SQLI con la excepción de que el atacante no puede ver inmediatamente los resultados.

  • Burpsuite: Escáner de vulnerabilidad web.

  • Classic SQLI: Un tipo de inyección SQL que utiliza la modificación de la cláusula ‘where’ y el operador ‘Union’ para explotar un filtro inadecuado.
    Covering Tracking: El acto de alterar los registros y ocultar la actividad, incluyendo los servicios programados, los archivos y la cuenta creada por el usuario.

  • Cross Side Scripting (XSS): Un tipo de ataque de inyección del lado del cliente que utiliza scripts maliciosos para explotar código vulnerable a través de cookies, tokens de sesión u otra información sensible.

  • DDoS: Denegación de servicio distribuida.

  • Enumeration: Una herramienta para encontrar vulnerabilidades.

  • Foot printing: Una forma de obtener información de forma pasiva.

  • HTTP: La base de la comunicación para la aplicación web y las páginas web utilizando diferentes funciones como get, head, delete, post y put.

  • HTTPS: La base de la comunicación segura para la aplicación web y la web. páginas utilizando la autoridad del certificado como SSL y la clave de cifrado.

  • Local File Inclusion (LFI): El proceso de incluir archivos en un servidor a través de un navegador para ejecutar comandos.

  • Maintaining Access: Establecer una puerta trasera o una comunicación con un oyente programado para mantener el acceso.

  • Nikto: Escáner de servidores web de código abierto que comprueba los problemas de configuración.

  • Nmap: Herramienta de descubrimiento de redes y auditoría de seguridad con un robusto motor de scripts.

  • Packet: Unidad de datos transportada a través de las redes para facilitar las comunicaciones entre hosts.

  • Remote File Inclusion (RFI): Es el proceso que permite a un atacante cargar un archivo malicioso personalizado en el sitio web o servidor mediante la ejecución de código para desfigurar una página web u obtener acceso.

  • Scanning: Una herramienta para mapear la red.

  • SearchSploit: Una base de datos con scripts de exploits precargados que se pueden buscar.

  • Secure Socket Layer (SSL): Una tecnología estándar para proteger las conexiones de Internet y salvaguardar cualquier dato sensible que se envíe entre dos sistemas, impidiendo que los delincuentes lean y modifiquen cualquier información transferida, incluidos los posibles datos personales.

  • **Servers Status Codes: **

    • 1XX – Informativo
    • 2XX – Códigos de éxito
    • 3XX – Redirección
    • 4XX – Error del cliente
    • 5XX – Error del servidor
  • Spidering: Técnica de mapeo de un sitio web de forma activa o pasiva para identificar todas las páginas accesibles para cualquier usuario.

  • SQL Injection: Un ataque de inyección de código para aprovechar la entrada del usuario mal filtrada para enumerar y manipular una base de datos a través de los caracteres de escape.

  • SQLMap: Herramienta automática de inyección SQL y enumeración de bases de datos.

  • SQLNinja: Herramienta automática de inyección SQL y enumeración de bases de datos.

  • SQL Post Injection: El uso del parámetro POST para un ataque de inyección de código.

  • Transmission Control Protocol (TCP): Un protocolo orientado a la conexión con un apretón de manos de tres vías (three-way handshake).

  • Transport Layer Security (TLS): Un protocolo que proporciona autenticación, privacidad e integridad de los datos entre dos aplicaciones informáticas que se comunican.

  • Universal Datagram Protocol (UDP): Un protocolo sin conexión y sin three-way handshake.

  • URL Manipulation: Se utiliza para obtener acceso o información de un sitio web cuando se aplican controles de usuarios deficientes.

  • Vega: Una herramienta de escaneo de vulnerabilidades web.

  • WireShark: Una herramienta de análisis de protocolos de red.

  • Zap: Un escáner web proxy de ataque.

Happy Hacking!!! 👽

Escribe tu comentario
+ 2