{"id":3074,"date":"2022-01-27T10:23:38","date_gmt":"2022-01-27T15:23:38","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=3074"},"modified":"2022-01-27T10:32:29","modified_gmt":"2022-01-27T15:32:29","slug":"ataques-mas-comunes-a-sitios-o-aplicaciones-web","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/ataques-mas-comunes-a-sitios-o-aplicaciones-web\/","title":{"rendered":"Ataques mas comunes a sitios o aplicaciones web"},"content":{"rendered":"\n<p><strong>Tu sitio web no est\u00e1 libre de ser vulnerable a\u00a0ataques\u00a0malintencionados<\/strong>. En el mundo todos los d\u00edas hay incidentes ya sea por que eres el objetivo o por que ca\u00edste en un ataque aleatorio automatizado para buscar fallas de seguridad, sin importar que tengas un sitio de e-commerce o un sitio web para una peque\u00f1a o mediana empresa, existe el riesgo de un posible ataque.<\/p>\n\n\n\n<p>Seg\u00fan el\u00a0<strong><a rel=\"noreferrer noopener\" href=\"https:\/\/www.verizon.com\/business\/resources\/reports\/dbir\/\" target=\"_blank\">reporte de violaci\u00f3n de datos de verizon<\/a><\/strong>\u00a0el <strong>85% <\/strong>de las fugas est\u00e1n relacionadas con un elemento humano, ya sea por una mala configuraci\u00f3n o por que hay un <strong>phishing<\/strong>\u00a0de por medio. Por eso es importante saber a que te enfrentas y cu\u00e1les son los ataques m\u00e1s comunes.<\/p>\n\n\n\n<p>Aunque estos en su mayor\u00eda son espec\u00edficos a la tecnolog\u00eda puedes proteger tu sitio para mitigar el riesgo.<\/p>\n\n\n\n<p><img data-opt-id=1035301625  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/static.platzi.com\/media\/user_upload\/1%20%281%29-8a2e7714-1315-48d3-b889-cc17e082cdbd.jpg\" alt=\"DBIR Patterns.png\"><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image.png\"><img data-opt-id=36059693  fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"114\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:114\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image.png\" alt=\"\" class=\"wp-image-3071\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:114\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image.png 1024w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:33\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:85\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image.png 768w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:830\/h:92\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image.png 830w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1477\/h:164\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image.png 1477w\" sizes=\"(max-width: 650px) 100vw, 650px\" \/><\/a><\/figure>\n\n\n\n<p><em>Patrones para categorizar los incidentes de seguridad y las violaciones de datos que comparten caracter\u00edsticas similares &#8211;\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/www.verizon.com\/business\/resources\/reports\/dbir\/interactive\/\" target=\"_blank\">Verizon<\/a><\/em><\/p>\n\n\n\n<p>Muchos de los ciberataques presentados el a\u00f1o en el 2020 y 2021 est\u00e1n relacionados con las aplicaciones web de empresas de diferentes sectores y tama\u00f1os, dejando perdidas econ\u00f3micas y da\u00f1os en la reputaci\u00f3n, imagen y confianza con sus clientes, adem\u00e1s de las sanciones legales.<\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-4-3 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe title=\"Top de ciberataques mas graves de 2020 -1\" width=\"650\" height=\"488\" src=\"https:\/\/www.youtube.com\/embed\/Qt1d9xdGkdg?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n\n\n<p>Ahora vamos a&nbsp;<strong>revisar los 5 ataques web m\u00e1s comunes<\/strong>&nbsp;(<em>Basic web application attacks<\/em>) seg\u00fan las categor\u00edas del proyecto OWASP Top 10 (<a rel=\"noreferrer noopener\" href=\"https:\/\/owasp.org\/www-project-top-ten\/\" target=\"_blank\">The Open Web Application Security Project<\/a>) y como puedes mitigar el riesgo. <\/p>\n\n\n\n<p>Probablemente ya haya o\u00eddo hablar de\u00a0<strong>OWASP\u00a0y del\u00a0OWASP Top 10<\/strong>\u00a0.\u00a0Si no es as\u00ed, he aqu\u00ed un resumen r\u00e1pido: <strong>OWASP Top 10<\/strong>, lanzado en 2003, enumera los riesgos m\u00e1s cr\u00edticos en las aplicaciones web.\u00a0Despu\u00e9s de cuatro a\u00f1os desde la \u00faltima versi\u00f3n (2017), se lanz\u00f3 una nueva versi\u00f3n en septiembre de 2021.\u00a0En otro art\u00edculo, repasaremos los cambios y actualizaciones del nuevo <strong>OWASP Top 10 &#8211; 2021 <\/strong>y hablaremos sobre las categor\u00edas de riesgos adicionales.\u00a0Tambi\u00e9n cubriremos c\u00f3mo las vulnerabilidades de aplicaciones web m\u00e1s explotadas se relacionan con esta nueva lista y qu\u00e9 tipo de protecciones est\u00e1n disponibles para implementar en sus aplicaciones web.<\/p>\n\n\n\n<p><strong>Mapeo de los cambios<\/strong><\/p>\n\n\n\n<figure class=\"wp-block-image\"><img data-opt-id=1039698655  data-opt-src=\"https:\/\/marvel-b1-cdn.bc0a.com\/f00000000017219\/www.trendmicro.com\/content\/dam\/trendmicro\/global\/en\/devops\/21\/k\/overview--owasp-top-10-2021-draft-edition\/figure-1.png\"  decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"Resumen: OWASP Top 10 2021 Draft Edition\"\/><figcaption>Figura 1 &#8211; Cambios entre el OWASP Top 10 2017 y 2021<\/figcaption><\/figure>\n\n\n\n<hr class=\"wp-block-separator\"\/>\n\n\n\n<p>Las empresas deben adoptar este marco y comenzar el proceso de garantizar que sus aplicaciones web minimicen estos riesgos.&nbsp;Usar OWASP Top 10 es quiz\u00e1s el primer paso m\u00e1s efectivo para cambiar la cultura de desarrollo de software dentro de su organizaci\u00f3n a una que produzca c\u00f3digo m\u00e1s seguro.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">1.&nbsp;<strong>Cross-Site Scripting (XSS)<\/strong><\/h2>\n\n\n\n<p>Es un tipo de vulnerabilidad de los sitios o aplicaciones web que permite que los atacantes inyecten secuencias de comandos maliciosos por medio de comandos en sitios cruzados. Este tipo de ataque aprovecha fallas de seguridad en sitios web y permite a los atacantes implantar scripts maliciosos en un sitio web leg\u00edtimo para ejecutar un script (payload) en el navegador de un usuario desprevenido que visita dicho sitio y afectarlo, ya sea robando credenciales, redirigiendo al usuario a otro sitio malicioso, o para realizar defacement (cambia la apariencia) en un sitio web. Los atacantes pueden redirigir a otro sitio a los usuarios para robar informaci\u00f3n\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/claves-para-reconocer-el-phishing\/\" target=\"_blank\">mediante phishing<\/a>\u00a0o hacer que se descargue alg\u00fan malware que se ejecute en el sistema del usuario o visitante.<\/p>\n\n\n\n<p>Existen\u00a0tres tipos de XSS\u00a0qu\u00e9 permiten que se lleve a cabo este ataque:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1- Reflected Cross-Site Scripting<\/h3>\n\n\n\n<p>En un ataque de XSS reflejado el payload suele ser inyectado en un par\u00e1metro de la solicitud HTTP, para luego ser procesado por la aplicaci\u00f3n web y finalmente desplegado en un punto determinado, sin alg\u00fan tipo de validaci\u00f3n o codificaci\u00f3n de los caracteres. Se trata de la variedad de XSS m\u00e1s simple y el script malicioso que busca afectar el navegador de la v\u00edctima es f\u00e1cilmente modificable, probablemente sin que el usuario note el ataque.<\/p>\n\n\n\n<p>Como se puede observar en el siguiente ejemplo, se crea un enlace de apariencia normal sin un par\u00e1metro marcado y se observa un vector de ataque delimitado por el control del n\u00famero de p\u00e1gina del sitio.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-1.png\"><img data-opt-id=1057374737  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-1.png\"  decoding=\"async\" width=\"594\" height=\"72\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-3075\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:594\/h:72\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-1.png 594w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:36\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-1.png 300w\" \/><\/a><\/figure>\n\n\n\n<p>El punto vulnerable en este caso es un par\u00e1metro que no es detectable a simple vista, pero alguna aplicaci\u00f3n podr\u00eda estar utilizando el valor proveniente de la URL para poder utilizarlo en el sitio, y as\u00ed dar origen a la vulnerabilidad Reflected Cross-Site Scripting.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-2.png\"><img data-opt-id=1056799053  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-2.png\"  decoding=\"async\" width=\"822\" height=\"410\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-3076\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:822\/h:410\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-2.png 822w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:150\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-2.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:383\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-2.png 768w\" \/><\/a><figcaption>Imagen 1. Ejemplo de una aplicaci\u00f3n web vulnerable a XSS reflejado.<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">2- Stored Cross-Site Scripting<\/h3>\n\n\n\n<p>Esta variante tiene como caracter\u00edstica que la aplicaci\u00f3n web guarda el valor de entrada en un medio de almacenamiento y persiste el script inofensivo, hasta que el valor es recuperado por la aplicaci\u00f3n y utilizado para conformar parte del documento HTML.<\/p>\n\n\n\n<p>Los puntos de entrada m\u00e1s conocidos en los cuales se suele observar esta vulnerabilidad est\u00e1n en los comentarios de sitios web, entradas de blog, nombres de usuario, chats, formularios de contacto, detalle de alguna orden, etc. Y as\u00ed como existen diversos valores de entrada, un XSS persistente podr\u00eda llegar de distintos medios. La respuesta del protocolo HTTP es el m\u00e1s com\u00fan, as\u00ed como mensajes mediante SMTP, servicios de mensajer\u00eda instant\u00e1nea, notificaciones v\u00eda socket, por mencionar algunos.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-3.png\"><img data-opt-id=458501934  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-3.png\"  loading=\"lazy\" decoding=\"async\" width=\"823\" height=\"427\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-3077\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:823\/h:427\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-3.png 823w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:156\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-3.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:398\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-3.png 768w\" \/><\/a><figcaption>Imagen 2. Ejemplo de XSS almacenado.<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">3- DOM-based Cross-Site Scripting<\/h3>\n\n\n\n<p>El Document Object Model (DOM) es una interfaz de programaci\u00f3n para representar la estructura de un documento web y conectarlo con un lenguaje de scripting. En este sentido, el DOM facilita la estructura de documentos como HTML o XML y permite a los programas modificar la estructura, estilo y contenido del documento. En el caso de un ataque de XSS basado en DOM el payload malicioso es ejecutado como resultado de la modificaci\u00f3n del entorno DOM en el navegador de la v\u00edctima. Esto lleva a que el usuario ejecute c\u00f3digo desde el lado del cliente sin saber que lo est\u00e1 haciendo.<\/p>\n\n\n\n<p>A partir de la evoluci\u00f3n de muchas librer\u00edas de JavaScript es cada vez m\u00e1s com\u00fan que se implemente el proceso de los datos desde fuentes no confiables (insegura o sin la adecuada codificaci\u00f3n de los datos) desde el lado del cliente, usualmente escribiendo estos datos en el DOM del sitio web.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-4.png\"><img data-opt-id=11040672  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-4.png\"  loading=\"lazy\" decoding=\"async\" width=\"829\" height=\"391\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-3078\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:829\/h:391\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-4.png 829w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:141\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-4.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:362\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2022\/01\/image-4.png 768w\" \/><\/a><figcaption>Imagen 3. Ejemplo DOM XSS. <br>https:\/\/www.welivesecurity.com\/la-es\/2021\/09\/28\/que-es-ataque-xss-cross-site-scripting\/<br><\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Como protegerse de un ataque <strong>XSS<\/strong>:<\/h3>\n\n\n\n<p>La prevenci\u00f3n de XSS requiere la separaci\u00f3n de los datos que no son de confianza del contenido activo del navegador. Esto se puede lograr mediante:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>El uso de marcos que escapan autom\u00e1ticamente de XSS por dise\u00f1o. Conozca las limitaciones de la protecci\u00f3n XSS de cada marco y maneje adecuadamente los casos de uso que no est\u00e1n cubiertos.<\/li><li>Escapar los datos de solicitud HTTP que no son de confianza seg\u00fan el contexto en la salida HTML (cuerpo, atributo, JavaScript, CSS o URL) ayudara a resolver las vulnerabilidades de XSS reflejadas y almacenadas. <\/li><li>Habilitar una pol\u00edtica de seguridad de contenido (CSP) como un control de mitigaci\u00f3n de defensa en profundidad contra XSS. Es efectivo si no existen otras vulnerabilidades que permitir\u00edan colocar c\u00f3digo malicioso a trav\u00e9s de archivos locales incluidos (por ejemplo, sobrescrituras de recorrido de ruta o bibliotecas vulnerables de redes de entrega de contenido permitidas).<ul><li>Evitar la ejecuci\u00f3n de scripts insertados en HTML<\/li><li>Prevenir la carga de scripts de una fuente desconocida<\/li><li>Evitar el uso de funciones inseguras como Eval<\/li><li>Restringir el uso del tag HTML object<\/li><li>Establecer el atributo de seguridad HttpOnly para reducir el impacto del ataque XSS<\/li><li>Validar cualquier dato de entrada bajo una lista blanca de caracteres permitidos<\/li><li>Codificar la salida de los datos, al menos para los caracteres especiales (&amp;, &lt;, >, \u201c, \u2018), en su respectivo c\u00f3digo HTML seg\u00fan el contexto, ya sea JavaScript, CSS, HTML<\/li><\/ul><\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>Configura un WAF (web application firewall) que act\u00faa como un filtro que identifica y bloquea cualquier solicitud maliciosa a tu sitio web puede ayudar a mitigar esta vulnerabilidad pero no es 100% que garanticen todos los ataques. Hay muchas opciones el mercado pero toca validar su funcionalidad y si no son <strong>f\u00e1cilmente bypaseables<\/strong>. De igual forma se requiere hacer pruebas de seguridad para validar si los controles o pol\u00edticas aplicadas son efectivas y de esa manera ir afin\u00e1ndolo, de lo contrario, confiar a ciegas es un error que puede ser aprovechado por un ciber atacante.<\/li><\/ul>\n\n\n\n<p>C\u00f3mo te proteges como usuario:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Contar con una soluci\u00f3n de seguridad actualizada en tu Pc para que te proteja ante la ejecuci\u00f3n de alguna aplicaci\u00f3n maliciosa sin tu consentimiento, tambi\u00e9n puedes instalar un complemento en el navegador para que que bloquee los scripts.<\/li><li>Usar navegadores que cuenten con filtros de seguridad para que reaccionen ante alguna redirecci\u00f3n sospechosa.<\/li><\/ul>\n\n\n\n<p><a rel=\"noreferrer noopener\" href=\"https:\/\/owasp.org\/www-project-top-ten\/2017\/A7_2017-Cross-Site_Scripting_(XSS)\" target=\"_blank\"><em>Definici\u00f3n OWASP<\/em><\/a><\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/10\/image-16.png\"><img data-opt-id=572386428  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/10\/image-16.png\"  loading=\"lazy\" decoding=\"async\" width=\"793\" height=\"403\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-3015\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:793\/h:403\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/10\/image-16.png 793w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:152\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/10\/image-16.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:390\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/10\/image-16.png 768w\" \/><\/a><\/figure>\n\n\n\n<p><strong><a href=\"https:\/\/www.itechsas.com\/home\/product\/ptaas\/\" target=\"_blank\" rel=\"noreferrer noopener\">PTaaS<\/a><\/strong>: es un servicio moderno para encontrar vulnerabilidades y hacer pruebas de penetraci\u00f3n (Pentest) y Hacking \u00e9tico aprovechando la potencia de la nube con la capacidad de realizar pruebas de seguridad bajo demanda, de forma \u00e1gil, automatizada y continua.&nbsp;<strong><a href=\"https:\/\/www.itechsas.com\/home\/product\/ptaas\/\" target=\"_blank\" rel=\"noreferrer noopener\">PTaaS&nbsp;<\/a><\/strong>reduce la cantidad de especialistas, costos asociados y flexibiliza los horarios para realizar el trabajo, permitiendo programar las pruebas con software basado en la nube que se puede personalizar para adaptarse a las necesidades de cada cliente, monitorear los test programados, generar informes que se pueden ver en tiempo real y programar retest despu\u00e9s de realizar los ajustes o remediaciones respectivas. Todo esto con el soporte, acompa\u00f1amiento, revisi\u00f3n y verificaci\u00f3n de nuestro&nbsp;<strong>Red Team<\/strong>.<\/p>\n\n\n\n<p>Recibe un&nbsp;<strong>Diagn\u00f3stico Sin Costo&nbsp;<\/strong>del estado de seguridad de tu aplicaci\u00f3n o sitio web dando clic en el siguiente enlace:<\/p>\n\n\n\n<figure class=\"wp-block-pullquote\" style=\"border-color:#cf2e2e\"><blockquote><p>&lt;&lt;<a rel=\"noreferrer noopener\" href=\"https:\/\/forms.gle\/SZ1CLhcjtzSuFAty9\" target=\"_blank\"><strong>Quiero el Diagn\u00f3stico Gratis<\/strong><\/a>&gt;&gt;<\/p><\/blockquote><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>Tu sitio web no est\u00e1 libre de ser vulnerable a\u00a0ataques\u00a0malintencionados. En el mundo todos los d\u00edas hay incidentes ya sea por que eres el objetivo o por que ca\u00edste en un ataque aleatorio automatizado para buscar fallas de seguridad, sin importar que tengas un sitio de e-commerce o un sitio web para una peque\u00f1a o&hellip;<\/p>\n","protected":false},"author":1,"featured_media":3081,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[53,34,369,33,91,368,367],"class_list":["post-3074","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-ciberataque","tag-ciberseguridad","tag-owasp","tag-seguridad-informatica","tag-vulnerabilidad","tag-web-application-security","tag-xxs"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3074","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=3074"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3074\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/3081"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=3074"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=3074"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=3074"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}