● 81 entries

Seguridad de aplicaciones

Aislamiento de SitiosArquitectura de seguridad de Chromium que coloca documentos de sitios distintos en procesos separados del sistema operativo para que un renderer comprometido no acceda a datos de otros sitios.
Anclaje de dependenciasPráctica de declarar las dependencias de software en versiones exactas, a menudo junto con hashes criptográficos, para que las builds consuman siempre los mismos artefactos y resistan manipulación de la cadena de suministro.
ASLRLa aleatorización del espacio de direcciones distribuye al azar la ubicación en memoria de código, pilas, montones y librerías para impedir que un atacante prediga direcciones.
Ataque de dependencia confusaAtaque a la cadena de suministro en el que el adversario publica un paquete malicioso en un registro público con el mismo nombre que una dependencia interna, engañando a las herramientas de build para que tomen la versión pública.
Atestación de procedenciaDeclaración firmada y verificable por máquina que describe cómo se produjo un artefacto de software —fuente, sistema de build, parámetros y dependencias— para que los consumidores confíen en su origen.
Atributo sandbox de iframeAtributo HTML que aplica restricciones adicionales al contenido de un iframe, bloqueando scripts, formularios, navegacion y acceso same-origin salvo que se reactiven explicitamente.
Builds reproduciblesPrácticas de build que garantizan que compilar el mismo código fuente con las mismas instrucciones produzca un artefacto idéntico bit a bit, sin importar cuándo o dónde se construya.
Cabeceras de seguridad HTTPCabeceras de respuesta que instruyen a los navegadores a aplicar comportamientos defensivos como HTTPS obligatorio, restricciones de marco, políticas de contenido y control de referer.
Canal Lateral por Ejecución EspeculativaClase de vulnerabilidades microarquitectónicas en las que las CPU filtran datos por cachés y predictores tras ejecutar instrucciones especulativamente por rutas que no debían ejecutarse.
Canario de pilaUn canario de pila es un valor secreto colocado entre los buffers locales de una funcion y la direccion de retorno guardada para detectar desbordes antes de que secuestren el flujo de control.
CAPTCHAPrueba de desafío-respuesta diseñada para distinguir humanos de bots automatizados, usada habitualmente en endpoints de registro, inicio de sesión y envío de formularios.
Capture the Flag (CTF)Competición de ciberseguridad en la que los equipos resuelven retos para obtener tokens ocultos, usada para formación, contratación y construcción de comunidad.
Caso de abusoArtefacto de requisitos que describe cómo un actor malicioso intentaría deliberadamente usar mal un sistema para dañar a usuarios, datos o el negocio.
Caso de mal usoCaso de uso negativo que describe interacciones que el sistema debe impedir, representado junto a los casos de uso legítimos para analizarlos conjuntamente.
Ciclo de vida seguro de desarrollo (SSDLC)Ciclo de desarrollo en el que las actividades de seguridad se integran en cada fase, desde los requisitos y el diseño hasta el código, pruebas, despliegue y operación.
Codificación de salidaTransformar datos no confiables a un formato seguro para un contexto específico (HTML, JavaScript, URL, SQL, shell) para que no escapen y se ejecuten como código.
Consulta parametrizadaConsulta a base de datos cuyos valores se envían aparte del texto SQL mediante marcadores, de modo que la entrada del usuario nunca altera su estructura.
Contenido mixtoSituacion en la que una pagina HTTPS carga subrecursos (scripts, estilos, imagenes, XHR) por HTTP plano, debilitando las garantias de seguridad.
Cookie SameSiteAtributo de cookie que controla si el navegador la envía en solicitudes entre sitios, con valores Strict, Lax y None, usado sobre todo para mitigar CSRF.
CORS (Intercambio de Recursos entre Orígenes)Mecanismo aplicado por el navegador que permite a un servidor relajar selectivamente la política del mismo origen para que JavaScript de un origen pueda leer respuestas de otro.
CosignCLI open source del proyecto Sigstore para firmar, verificar y atestiguar artefactos OCI y otro software, usando flujos con o sin claves de larga duración.
Cryptographic Bill of Materials (CBOM)Inventario de todos los activos criptográficos que utiliza un software o sistema —algoritmos, longitudes de clave, certificados, bibliotecas y protocolos— para apoyar la cripto-agilidad y la preparación postcuántica.
DAST (Pruebas dinámicas de seguridad de aplicaciones)Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución.
DEPLa prevencion de ejecucion de datos (DEP / NX / W^X) marca paginas de memoria como no ejecutables para impedir que un atacante ejecute shellcode inyectado en pila o monton.
DevSecOpsCultura y conjunto de prácticas que integra las responsabilidades de seguridad en los flujos DevOps para entregar software seguro de forma continua y rápida.
Ejecución simbólicaTécnica de análisis de programas que ejecuta el código con entradas simbólicas en vez de valores concretos, construyendo restricciones de ruta resueltas por un solver SMT para encontrar bugs.
Exploit en PDFDocumento PDF malicioso que abusa de bugs del parser, JavaScript embebido, fuentes o acciones externas en un lector de PDF para lograr ejecución de código o exfiltración de datos.
Extensión de Navegador MaliciosaComplemento del navegador que abusa de sus permisos para robar credenciales, secuestrar sesiones, inyectar anuncios o exfiltrar datos, a menudo mediante actualizaciones comprometidas de extensiones legítimas.
Fijación de sesiónAtaque en el que el adversario implanta un identificador de sesión conocido en el navegador de la víctima antes del inicio de sesión, para que siga siendo válido para él tras autenticarse.
Firma de paquetesAplicación de una firma criptográfica a un paquete de software para que los consumidores verifiquen la identidad del publicador y que el artefacto no se ha alterado tras su publicación.
Flag de cookie HttpOnlyAtributo de cookie que la oculta a JavaScript prohibiendo el acceso desde «document.cookie», limitando el robo de sesión cuando se explota XSS.
Flag de cookie SecureAtributo de cookie que indica al navegador enviarla únicamente por HTTPS, evitando que viaje en claro por la red.
Formato binario ELFExecutable and Linkable Format, el contenedor binario estandar para ejecutables, objetos y bibliotecas compartidas en Linux, BSD y la mayoria de derivados de System V Unix.
Formato ejecutable PEPortable Executable, el formato binario de Windows usado por archivos .exe, .dll, .sys y .ocx, derivado del antiguo formato de objetos COFF.
Fuzz testingTécnica de pruebas automatizadas que bombardea un programa con grandes cantidades de entrada malformada, aleatoria o inesperada para descubrir caídas, corrupción de memoria y vulnerabilidades.
Fuzzing guiado por coberturaTécnica de fuzzing que instrumenta el objetivo para medir cobertura de código y evoluciona entradas que exploran caminos nuevos, mejorando enormemente la eficacia.
Fuzzing por mutaciónEstrategia de fuzzing que crea nuevas entradas de prueba mutando aleatoriamente muestras válidas existentes: invirtiendo bits, insertando bytes o combinando archivos.
IAST (Pruebas interactivas de seguridad de aplicaciones)Pruebas de seguridad que instrumentan la aplicación desde dentro para observar la ejecución del código mientras es ejercitada por tráfico o tests.
in-totoMarco abierto que atestigua criptográficamente cada paso de una cadena de suministro de software, para que los consumidores verifiquen que el artefacto se construyó y manejó exactamente como pretendía el propietario del proyecto.
Integridad de Subrecursos (SRI)Mecanismo del navegador que verifica un hash criptográfico de un script o hoja de estilos cargada desde un tercero antes de ejecutarlo, impidiendo que archivos manipulados se ejecuten.
Integridad del flujo de controlLa integridad de flujo de control (CFI) restringe las llamadas indirectas y los retornos del programa a un conjunto precomputado de destinos legitimos, bloqueando ROP y JOP.
Intel CETIntel CET (Control-flow Enforcement Technology) es una caracteristica de CPU que combina shadow stack hardware e Indirect Branch Tracking (IBT) para bloquear ROP, JOP y COP.
JIT SprayTécnica de explotación que abusa de los compiladores JIT para plantar bytes ejecutables elegidos por el atacante dentro de páginas de memoria generadas legítimamente como ejecutables.
KASLRKASLR aleatoriza la base del kernel y la carga de modulos en cada arranque para impedir que un atacante use direcciones fijas de kernel en escaladas de privilegios.
Lenguajes con seguridad de memoriaLos lenguajes con seguridad de memoria como Rust, Go, Swift, Java y C# evitan los errores espaciales y temporales de memoria que originan la mayoria de vulnerabilidades explotables en C y C++.
Mach-OMach-O es el formato nativo de ejecutables, objetos y bibliotecas compartidas que macOS, iOS, watchOS y tvOS usan para los binarios compilados con las herramientas de Apple.
MIME SniffingComportamiento del navegador que adivina el tipo de contenido de una respuesta a partir de sus bytes, lo que puede explotarse para ejecutar archivos subidos como scripts.
Modelado de amenazasAnálisis estructurado que identifica activos, amenazas, vulnerabilidades y mitigaciones de un sistema para diseñar la seguridad desde el inicio, no añadirla al final.
Navegador sin interfazNavegador web que se ejecuta sin interfaz gráfica y se controla mediante código, utilizado para pruebas, scraping y automatización de seguridad.
Politica de referente (Referrer Policy)Cabecera HTTP (o meta tag) que controla cuanta informacion de la URL de origen envia el navegador en la cabecera Referer al hacer peticiones salientes.
Política de Seguridad de Contenidos (CSP)Cabecera HTTP que indica al navegador qué orígenes de scripts, estilos, marcos y otros recursos están permitidos, limitando el impacto de XSS y de inyecciones de datos.
Política del mismo origen (SOP)Regla de seguridad del navegador que limita cómo un documento o script de un origen puede interactuar con recursos de otro origen distinto.
Programación seguraPráctica de escribir código fuente minimizando los defectos de seguridad, siguiendo patrones defensivos, reglas específicas del lenguaje y guías reconocidas.
Propiedades de seguridad de RustRust impone seguridad de memoria y de hilos en tiempo de compilacion mediante ownership, borrowing y lifetimes, eliminando UAF y carreras de datos sin recolector de basura.
RASP (Autoprotección de aplicaciones en tiempo de ejecución)Defensa integrada dentro de una aplicación en ejecución que supervisa el contexto y bloquea en tiempo real comportamientos maliciosos como inyección o deserialización insegura.
Requisitos de seguridadDeclaraciones explícitas y verificables sobre lo que un sistema debe y no debe hacer para proteger la confidencialidad, integridad, disponibilidad y privacidad.
Return-Oriented ProgrammingROP es una tecnica de explotacion por reutilizacion de codigo que encadena secuencias cortas terminadas en RET para ejecutar computacion arbitraria sin inyectar codigo nuevo.
robots.txtFichero de texto en la raiz del sitio que indica a los rastreadores correctos que rutas pueden o no recuperar, formalizado en el RFC 9309 del IETF.
Sandbox del NavegadorCapa de aislamiento a nivel de sistema operativo que confina el renderer y procesos auxiliares del navegador para que el código web comprometido no acceda al sistema de archivos u otras aplicaciones.
SAST (Pruebas estáticas de seguridad de aplicaciones)Análisis automatizado de código fuente, bytecode o binarios —sin ejecutarlo— para detectar debilidades de seguridad como inyección, APIs inseguras o criptografía débil.
SCA (Análisis de composición de software)Análisis automatizado de los componentes open source y de terceros de una aplicación para identificar vulnerabilidades conocidas, problemas de licencia y dependencias obsoletas o de riesgo.
Secretos en el código (hardcoded)Incrustar credenciales, claves API, tokens o material criptográfico directamente en el código, ficheros de configuración o imágenes de contenedor, donde se descubren y abusan con facilidad.
Seguridad de APIDisciplina de diseñar, construir y operar APIs de forma que autenticación, autorización, exposición de datos y resistencia al abuso se mantengan bajo ataque.
Seguridad de aplicaciones (AppSec)Disciplina que diseña, construye, prueba y opera el software para que resista abusos, manipulación y accesos no autorizados durante todo su ciclo de vida.
Seguridad de CI/CDConjunto de controles que protegen los pipelines de integración y entrega continua frente a compromisos, inyección de código, fuga de secretos y despliegues no autorizados.
Seguridad de la cadena de suministro de softwareDisciplina que protege cada eslabón de la producción de software —fuente, dependencias, build, firma, distribución y despliegue— frente a manipulación, código malicioso y pérdida de integridad.
Seguridad de memoriaLa seguridad de memoria es la propiedad de que un programa nunca lee, escribe ni ejecuta memoria que no haya asignado legitimamente, evitando clases enteras de vulnerabilidades.
Seguridad en PlaywrightConsideraciones de seguridad para Playwright, el framework multinavegador de Microsoft que controla Chromium, Firefox y WebKit con contextos aislados.
Seguridad en PuppeteerConsideraciones de seguridad para Puppeteer, la biblioteca Node.js de Google que controla Chrome y Chromium mediante el DevTools Protocol para automatizacion y pruebas.
Seguridad GitOpsPrácticas de seguridad para flujos GitOps, donde el estado deseado declarativo de infraestructura y aplicaciones se guarda en Git y un controlador automatizado lo concilia con producción.
Shadow stackUna shadow stack es una pila protegida y separada que guarda copias de las direcciones de retorno para detectar manipulaciones de la pila normal y bloquear ataques ROP.
Shift-Left SecurityPráctica de adelantar las actividades de seguridad en el ciclo de vida del software para detectar y corregir vulnerabilidades antes de llegar a producción.
SigstoreProyecto open source de la Linux Foundation que facilita firmar, verificar y proteger artefactos de software combinando claves efímeras, identidades OIDC y un registro de transparencia.
SLSA FrameworkSupply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado por OpenSSF que endurece progresivamente la forma de construir, firmar y verificar software frente a manipulaciones de la cadena de suministro.
SMEP / SMAPSMEP y SMAP son funciones de CPU que impiden que el kernel ejecute o acceda a paginas de usuario, bloqueando tecnicas comunes de escalada local de privilegios.
Software Bill of Materials (SBOM)Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones.
Suplantacion de User-AgentFalsificacion de la cabecera User-Agent o de los client hints relacionados para que una peticion parezca provenir de un navegador, dispositivo o sistema operativo distinto al real.
Trusted TypesAPI del navegador y directiva CSP que previene el XSS basado en DOM exigiendo que los sumideros peligrosos reciban valores tipados y validados por una politica, no cadenas crudas.
Validación de entradaComprobación del lado del servidor que verifica que cada entrada no confiable cumple el tipo, longitud, rango, formato y conjunto de valores esperados antes de ser procesada.
Vulnerabilidad de Confusión de TiposFallo de seguridad de memoria en el que el código accede a un objeto usando un tipo incompatible con su asignación real, permitiendo lectura, escritura o ejecución arbitrarias.
Vulnerabilidades en JWTClases de fallos de implementacion en la validacion de JSON Web Tokens que permiten falsificar tokens, escalar privilegios o evadir la autenticacion.