Nuevos labs cada semana — Accede a todos desde 5€/mes
Ver labs →Research y exploit chains
Vulnerabilidades que requieren entender cómo se diseñan los sistemas. La mayoría son artículos públicos; un par de chains complejos están reservados a la suscripción.
- GraphQL: enumeration y mass-extraction
- postMessage: bypasses de origin validation
- RCE en sandboxes (Python, JS)
- Parser differential, prototype pollution
Client-side admin bypass — boolean manipulation + BAC en SPA moderna
Report real Quora: SPA con isAdmin boolean en localStorage que controla UI + backend que no valida server-side. Cómo encadenar boolean flip con BAC para admin takeover.
Todos los artículos del nivel avanzado
32 artículos
Client-side admin bypass — boolean manipulation + BAC en SPA moderna
Report real Quora: SPA con isAdmin boolean en localStorage que controla UI + backend que no valida server-side. Cómo encadenar boolean flip con BAC para admin takeover.
Cloudflare WAF — payload size bypass, oversized body, plan-specific limits
Bypass de Cloudflare WAF mediante exploitation de body size limits por plan (Free 100kb, Pro 100kb, Business 500kb, Enterprise 1mb): oversize payload trick + chunked transfer encoding.
Headless browsers — SSRF y RCE en endpoints que renderizan URLs
Endpoints que aceptan URLs para screenshots/PDF (Puppeteer, Playwright, wkhtmltopdf) son SSRF goldmine: cloud metadata, file://, gopher://, JS injection con XSS-to-RCE en chromium sandbox.
HTTP request smuggling — H2→H1 desync, TE.CL, CL.TE y H2.CL en 2026
Catálogo actualizado de HTTP smuggling: CL.TE clásico, TE.CL, H2→H1 downgrade desyncs, HTTP/2 SETTINGS frame abuse, chunked extensions y pseudo-headers HTTP/2.
LLM hacking — prompt injection, jailbreaks, indirect injection y data exfiltration
Vulnerabilidades en sistemas con LLM expuestos: direct prompt injection, indirect injection via fuentes externas (RAG poisoning), system prompt extraction, jailbreaks y data exfiltration.
Next.js attack surface 2026 — middleware bypass, SSRF interno, RSC abuse
Vulnerabilidades específicas de Next.js 13-16: middleware bypass con headers manipulados, SSRF en API routes, RSC (React Server Components) data leak, image optimization SSRF.
Cloudflare WAF Bypass — oversized body, header stuffing y cache poisoning
El WAF de Cloudflare tiene límites de inspección por plan (~8KB Free, 128KB Enterprise). Padding bypass, header stuffing >100 headers, IP origin disclosure.
DOM XSS — gadgets, postMessage handlers y CVE-2025-59840
DOM XSS no es solo innerHTML. Sources/sinks, gadget chains via toString(), postMessage handlers sin origin check, hash-based routing rotos.
HTTP Request Smuggling — CL.TE, TE.CL, TE.TE y caching exploitation
Cuando el frontend y el backend interpretan el mismo request de forma diferente. Smuggling para bypass de auth, cache poisoning, victima-aware attacks.
Mass PII Extraction vía GraphQL — 93 perfiles reales en 1 hora
Un endpoint GraphQL de sincronización de contactos sin rate limiting, sin verificación de propiedad y con batching de 200 números por petición. Resolución teléfono → identidad real.
RCE en sandbox de Python — del editor de bots al shell del servidor
El sandbox de Python de una plataforma de IA no bloqueaba os.popen(). Dos líneas de Python para ejecutar comandos del sistema, leer variables de entorno y huellear el runtime.
SSRF — bypasses completos: localhost, IPv6, decimal, DNS y cloud metadata
11 técnicas para bypassear validación SSRF: enclosed alphanumeric, decimal IP, dot bypass, DNS rebinding, parameter pollution. Cloud metadata AWS/GCP/Azure.
Zero-Click postMessage Origin Bypass — del canvas al credit drain
El listener de postMessage solo validaba un campo de e.data — controlado por el atacante. e.origin nunca se chequeaba. Desde un iframe cargado al abrir un bot, mensajes inyectados como si los hubiera escrito la víctima.
ASP.NET — ViewState deserialization, machineKey leak, padding oracle
Vulnerabilidades clásicas y modernas en stack ASP.NET: ViewState deserialization sin signature validation, machineKey leak via web.config disclosure, padding oracle attacks contra encrypted ViewState.
CloudFront cache deception — exfiltrate PII via cached responses ajenas
Cómo abusar de CloudFront cache rules con extensions falsas (.css, .js, .png) para servir respuestas autenticadas cacheadas a otros usuarios. Real-world PII leakage.
CSP bypass + CORS misconfig + XSS — chain completo de explotación
Cómo encadenar misconfiguración CSP (unsafe-inline, wildcard sources, JSONP endpoints whitelistados), CORS con credentials y XSS para data exfiltration sin restricciones.
DOM clobbering — override de variables globales JS para bypassear sanitizers
Cómo usar DOM clobbering (name/id collisions) para sobrescribir variables JS globales y bypassear sanitizers como DOMPurify, achivar XSS donde innerHTML está bloqueado por defecto.
DOM XSS — sources, sinks y gadgets para encadenar bypass de filtros
Mapa completo de sources (location, postMessage, document.referrer, localStorage) y sinks (innerHTML, eval, document.write, jQuery $.html) + gadgets para construir payloads no detectables.
DoS vía WAF body size — agotar inspection budget en Cloudflare/Akamai
Cómo abusar del límite de inspección de body en WAFs (Cloudflare 100kb, Akamai 32kb) para drenar budget de inspección y forzar bypass — útil tanto para evasión como para DoS controlado.
OAuth open redirect — backslash bypass de redirect_uri (POE report walkthrough)
Walkthrough del report POE: open redirect via `\` (backslash) en redirect_uri que el parser de POE no normalizaba correctamente. URL-based XSS encadenado para token theft.
PHP class pollution — el equivalente PHP de Prototype Pollution
Cómo PHP class pollution (vía recursive merge / object instantiation con user input) genera deserialization-like RCE en apps Laravel, Symfony, WordPress sin necesidad de gadget chains.
XSS Android — Activity exported via ContentActivity (POE/Quora real report)
Walkthrough de XSS Android explotable via Activity Exported intent en POE: cómo un ContentActivity sin filtros leaks WebView a sites attacker-controlled.
Secondary context XSS — encontrando XSS donde el primary parsing no lo detecta
Cuando el primary parsing escapa pero un secondary context (markdown render, BBCode, custom template engine) interpreta de nuevo, abriendo XSS oculto a sanitizers tradicionales.
SSRF — localhost bypasses, DNS rebinding, cloud metadata, gopher://
Catálogo completo de bypasses SSRF en 2026: IP encodings (decimal, hex, octal, dword), DNS rebinding, IPv6 abuse, cloud metadata (AWS IMDSv2, GCP, Azure), gopher:// para chaining a Redis/Memcached RCE.
XS-Leaks — cross-site timing attacks, error-based leaks, frame-counting
Técnicas XS-Leaks 2026: timing attacks con performance.now(), error-based leaks via tag onerror/onload, frame-counting con CSP violations, ID-based leaks via element selector y storage timing.
XSS escalation — de Self-XSS a Account Takeover con chains reales
Cómo convertir un Self-XSS aparentemente inútil en un takeover total: clickjacking, login-CSRF + Self-XSS, cookie tossing, postMessage hijack, hash injection, OAuth flow abuse.
XSS WAF bypass — encoding, parser differentials, case-only mutations
Técnicas de bypass WAF para XSS: HTML entities, hex/decimal/unicode encoding, parser differentials (browser vs WAF), comments injection, case variations, JS template literals.
CSP Bypass — JSONP, base-uri, AngularJS gadgets, dangling markup
Content-Security-Policy roto con strict-dynamic + JSONP, sin base-uri, AngularJS sandbox escapes, JSON hijacking. Cómo escalar XSS cuando el CSP teóricamente bloquea.
Mutation XSS — cuando el HTML cambia entre sanitizar y renderizar
El sanitizer ve A pero el browser renderiza B. SVG namespace tricks, comments mal cerrados, MathML, template element. Cómo encontrar mXSS contra DOMPurify y sanitizers caseros.
Prototype Pollution — del JSON malicioso a XSS, RCE y bypass de auth
Cómo el atacante contamina Object.prototype y rompe las assumptions del código. Vectores client-side y server-side, gadgets en lodash/jQuery/Angular.
Reflected XSS en página 429 vía Google Analytics — el snippet de tracking como vector
El snippet de Google Analytics tomaba parte de la URL como input sin sanitizar. Un breakout de string literal dentro del propio script: la inyección estaba ya en contexto JavaScript.
SSTI — Server-Side Template Injection en Jinja2, Twig, Velocity y Freemarker
Detección con polyglots, identificación del engine, escalación a RCE en Jinja2/Python, Twig/PHP, Velocity/Java. Patrones donde se mete user input en templates.
Practica esta vulnerabilidad en un lab interactivo.