Nuevos labs cada semana — Accede a todos desde 5€/mes
Ver labs →Bug bounty desde cero, sin paywalls
Las vulnerabilidades más comunes explicadas con writeups reales y payloads listos para copiar. Sin testimonios fabricados, sin métricas inventadas.
- Vulnerabilidades web frecuentes (XSS, IDOR, Open Redirect, Information Disclosure)
- Writeups reales con bounties documentados (€500 — €1.200)
- Herramientas gratuitas (Burp Community, ZAP, DevTools)
- Cómo escribir un reporte que pase triage
API keys expuestas en HTML público — $2.000 sin un solo bypass
Una plataforma de productividad entregaba un token de un CMS de terceros en window.CONFIG. Cualquiera con DevTools podía descargar templates de pago. Cómo cazar este patrón en cualquier app SPA.
Todos los artículos del nivel básico
17 artículos
API keys expuestas en HTML público — $2.000 sin un solo bypass
Una plataforma de productividad entregaba un token de un CMS de terceros en window.CONFIG. Cualquiera con DevTools podía descargar templates de pago. Cómo cazar este patrón en cualquier app SPA.
CSRF (Cross-Site Request Forgery) — explicado completo con bypasses
CSRF: cómo se explota, defensas comunes (tokens, SameSite, Origin), bypasses (method change, JSON, double-submit, content-type) y dónde buscarlo en cualquier app.
IDOR en API de newsletters — la UI lo oculta, la API lo regala
Un endpoint sin comprobación de autorización en servidor. Un parámetro público en la URL. Acceso a la lista de suscriptores de cualquier newsletter de una red social profesional.
Metodología de recon básica — del dominio a los endpoints vulnerables
Pipeline mínimo de recon para bug bounty: subdomain enum, live host discovery, URL collection, parameter discovery. Herramientas gratuitas y orden de ejecución.
¿Qué es bug bounty? Guía completa para entender cómo funciona
Bug bounty explicado: programas, plataformas, tipos de vulnerabilidades, cómo se paga, ratios de duplicados y por qué algunos hunters viven de esto.
Stored XSS en nombres de plantilla — del campo más aburrido al domain takeover
Un campo de título en una plantilla, sin sanitizar, en una sesión con permisos sobre dominios. Bounty real de €1.200. Cómo encontrar XSS donde nadie mira.
HackerOne vs Bugcrowd vs YesWeHack vs Intigriti — comparativa práctica 2026
Diferencias reales entre las 4 plataformas de bug bounty: payout speed, calidad de triage, reputation system, public vs private programs y donde se gana más dinero.
Burp Suite — setup de cero para bug bounty (Community + Professional)
Instalación, configuración de proxy + CA cert, target scope, extensiones esenciales y workflow para empezar a hunting con Burp Suite hoy.
Análisis JavaScript client-side — endpoints, secrets y source maps
Extracción de endpoints ocultos de JS bundles, detección de secrets, análisis de source maps y dynamic instrumentation con Frida para auditar lógica client-side.
Cómo escribir un bug bounty report que se acepte — estructura y errores comunes
Estructura ideal de un bug bounty report: title, summary, impact, steps to reproduce, PoC, remediation. Los 10 errores que hacen que tu report sea rechazado.
LFI — Local File Inclusion: payloads, filters bypass, log poisoning y RCE
Path traversal, null-byte injection, double encoding, PHP wrappers (filter, data, expect, phar), log poisoning y escalación de LFI a RCE en stacks PHP/Java/Node.
Recon completo — subdominios, fingerprinting, ASN y origin IPs
Metodología práctica de recon para bug bounty: enumeración pasiva/activa de subdominios, fingerprinting, ASN mapping, origin IPs bypass WAF y mining de git history.
Security headers checklist 2026 — CSP, HSTS, X-Frame, Referrer-Policy y más
Audit completo de HTTP security headers que cualquier aplicación moderna debe tener: ejemplos reales, configuración correcta, errores comunes y cómo reportarlos.
Services checklist — primer touch en cualquier target (SSH, FTP, SMB, NFS, Redis, Mongo, RDP)
Checklist práctico de primer enumeración para los 15 servicios más comunes en pentesting: ports, credenciales por defecto, exploits típicos y misconfigurations.
Cookie flags — Secure, HttpOnly, SameSite y por qué importan
HttpOnly bloquea XSS-to-cookie, Secure obliga HTTPS, SameSite mata CSRF. Cómo se rompen y qué reportar cuando faltan en cookies sensibles.
Information Disclosure — los 12 patrones que más se pagan
API keys en HTML, debug endpoints, error verbose, JS bundles con secretos, .git expuesto, headers leak. Cómo encontrarlo y por qué se cierra rápido y se paga.
IP leak vía GIF en chat — Client-Side Request Forgery + Information Disclosure
Una red social no validaba la URL del GIF enviado en el chat. Mandar un GIF revelaba IP, sistema operativo, modelo de teléfono y device ID de la víctima.
Practica esta vulnerabilidad en un lab interactivo.