Nuevos labs cada semana — Accede a todos desde 5€/mes
Ver labs →Diccionario
Definiciones claras y ejemplos prácticos de cada vulnerabilidad, concepto y herramienta del mundo del bug bounty.
Vulnerabilidades
(25)XSS
Cross-Site Scripting
Cross-Site Scripting (XSS) es una vulnerabilidad que permite a un atacante inyectar código JavaScript malicioso en páginas web vistas por otros usuarios. El navegador de la víctima ejecuta el script creyendo que proviene de una fuente legítima, lo que permite robar cookies, tokens de sesión o redirigir al usuario a sitios maliciosos.
SSRF
Server-Side Request Forgery
Server-Side Request Forgery (SSRF) es una vulnerabilidad que permite a un atacante hacer que el servidor realice peticiones HTTP a destinos arbitrarios. Esto puede exponer servicios internos, metadatos de la nube (como credenciales de AWS/GCP) y permitir escanear la red interna de la organización.
SQLi
SQL Injection
SQL Injection (SQLi) es una vulnerabilidad que permite a un atacante interferir con las consultas SQL que una aplicación envía a su base de datos. Mediante la inyección de código SQL malicioso en campos de entrada, el atacante puede leer, modificar o eliminar datos, e incluso ejecutar comandos en el sistema operativo.
IDOR
Insecure Direct Object Reference
Insecure Direct Object Reference (IDOR) es una vulnerabilidad de control de acceso donde la aplicación expone referencias directas a objetos internos (como IDs de base de datos) sin verificar que el usuario tenga autorización para acceder a ellos. Un atacante puede manipular estas referencias para acceder a datos de otros usuarios.
CSRF
Cross-Site Request Forgery
Cross-Site Request Forgery (CSRF) es una vulnerabilidad que permite a un atacante engañar al navegador de un usuario autenticado para que envíe peticiones no deseadas a una aplicación web. Como el navegador incluye automáticamente las cookies de sesión, la aplicación procesa la petición como si fuera legítima.
Open Redirect
Open Redirect / Redirección Abierta
Open Redirect es una vulnerabilidad que ocurre cuando una aplicación web redirige a los usuarios a una URL proporcionada por un parámetro sin validación adecuada. Los atacantes la explotan para redirigir víctimas a sitios de phishing usando un enlace aparentemente legítimo del dominio confiable.
XXE
XML External Entity Injection
XML External Entity (XXE) es una vulnerabilidad que explota la funcionalidad de entidades externas en parsers XML. Cuando una aplicación procesa XML de entrada sin deshabilitar las entidades externas, un atacante puede leer archivos del servidor, realizar SSRF o provocar denegación de servicio.
Path Traversal
Path Traversal / Directory Traversal
Path Traversal es una vulnerabilidad que permite a un atacante acceder a archivos y directorios fuera del directorio raíz de la aplicación mediante secuencias como ../. El atacante puede leer archivos sensibles del sistema operativo, código fuente de la aplicación o archivos de configuración con credenciales.
LFI
Local File Inclusion
Local File Inclusion (LFI) es una vulnerabilidad que permite a un atacante incluir archivos locales del servidor a través de la manipulación de parámetros de entrada. A diferencia del Path Traversal que solo lee archivos, LFI puede ejecutar código si el archivo incluido contiene código del lenguaje del servidor (PHP, JSP, etc.).
CORS Misconfiguration
Cross-Origin Resource Sharing Misconfiguration
Una mala configuración de CORS ocurre cuando un servidor define políticas de Cross-Origin Resource Sharing demasiado permisivas, permitiendo que sitios web maliciosos lean respuestas de la API autenticada. Esto puede permitir el robo de datos sensibles del usuario desde un dominio controlado por el atacante.
SSTI
Server-Side Template Injection
Server-Side Template Injection (SSTI) ocurre cuando la entrada del usuario se inserta directamente en una plantilla del servidor (Jinja2, Twig, Freemarker, etc.) sin sanitización. El atacante puede inyectar expresiones del motor de plantillas para ejecutar código arbitrario en el servidor.
Command Injection
OS Command Injection
Command Injection es una vulnerabilidad que permite a un atacante ejecutar comandos del sistema operativo en el servidor a través de una aplicación vulnerable. Ocurre cuando la aplicación pasa entrada del usuario directamente a funciones de ejecución de comandos del sistema (exec, system, popen, etc.).
Race Condition
Race Condition / Condición de Carrera
Una Race Condition es una vulnerabilidad que ocurre cuando el comportamiento de una aplicación depende de la secuencia o timing de eventos no controlados. En aplicaciones web, un atacante puede enviar múltiples peticiones simultáneas para explotar ventanas de tiempo donde las validaciones de seguridad no se aplican atómicamente.
Clickjacking
Clickjacking / UI Redressing
Clickjacking es un ataque que engaña al usuario para que haga clic en elementos de una página web legítima que está oculta en un iframe transparente. El atacante superpone su propia página sobre la página objetivo, de modo que cuando el usuario cree que está interactuando con la página visible, en realidad está haciendo clic en la página oculta.
Subdomain Takeover
Subdomain Takeover
Subdomain Takeover ocurre cuando un subdominio apunta (vía CNAME o A record) a un servicio externo que ya no está en uso o no ha sido reclamado. Un atacante puede registrar ese servicio externo y tomar control del subdominio, pudiendo servir contenido malicioso, robar cookies del dominio padre o realizar phishing convincente.
CRLF Injection
CRLF Injection / HTTP Response Splitting
CRLF Injection ocurre cuando un atacante puede inyectar caracteres de retorno de carro (\r) y nueva línea (\n) en las cabeceras HTTP de la respuesta. Esto permite dividir la respuesta HTTP, inyectar cabeceras arbitrarias, establecer cookies maliciosas o incluso inyectar contenido HTML/JavaScript en el cuerpo de la respuesta.
Host Header Injection
Host Header Injection
Host Header Injection es una vulnerabilidad que ocurre cuando una aplicación confía ciegamente en el valor del encabezado Host de la petición HTTP. Un atacante puede manipular este encabezado para envenenar enlaces de restablecimiento de contraseña, manipular el enrutamiento, o envenenar cachés web.
HTTP Smuggling
HTTP Request Smuggling
HTTP Request Smuggling es una vulnerabilidad que explota las discrepancias en cómo servidores front-end (proxies, balanceadores) y back-end interpretan los límites entre peticiones HTTP. El atacante envía peticiones ambiguas que son procesadas de forma diferente, permitiendo 'contrabandear' una petición dentro de otra.
Prototype Pollution
Prototype Pollution
Prototype Pollution es una vulnerabilidad específica de JavaScript que permite a un atacante modificar el prototipo de objetos base (Object.prototype). Al inyectar propiedades en el prototipo, todos los objetos de la aplicación heredan estas propiedades, lo que puede llevar a XSS, bypass de seguridad o ejecución remota de código.
DOM Clobbering
DOM Clobbering
DOM Clobbering es una técnica de ataque web donde el atacante inyecta elementos HTML que sobrescriben propiedades globales del DOM de JavaScript. Usando atributos como id o name en elementos HTML, se crean referencias globales que pueden reemplazar variables, objetos o funciones que el código JavaScript espera, alterando su comportamiento.
Cache Poisoning
Web Cache Poisoning
Web Cache Poisoning es una vulnerabilidad que explota el comportamiento de cachés web (CDNs, proxies) para almacenar y servir respuestas maliciosas a otros usuarios. El atacante envía una petición con cabeceras o parámetros que no son parte de la clave de caché pero sí afectan la respuesta, haciendo que la versión envenenada se sirva a todos los visitantes.
Mass Assignment
Mass Assignment / Asignación Masiva
Mass Assignment es una vulnerabilidad que ocurre cuando una aplicación asigna automáticamente los valores de una petición HTTP a los campos de un modelo u objeto de datos sin filtrar qué campos pueden ser modificados. Un atacante puede agregar campos adicionales a la petición para modificar atributos sensibles como el rol, el estado o el precio.
Broken Access Control
Broken Access Control / Control de Acceso Roto
Broken Access Control engloba todas las fallas donde los usuarios pueden actuar fuera de sus permisos previstos. Incluye escalada de privilegios horizontal (acceder a datos de otros usuarios del mismo rol) y vertical (realizar acciones de un rol superior). Es la vulnerabilidad #1 del OWASP Top 10 2021.
NoSQL Injection
NoSQL Injection
NoSQL Injection es una vulnerabilidad que permite a un atacante interferir con las consultas de bases de datos NoSQL (como MongoDB, CouchDB) mediante la inyección de operadores o expresiones maliciosas. A diferencia de SQL Injection, explota la estructura de consultas basadas en objetos JSON y operadores específicos del DBMS.
Deserialization
Insecure Deserialization / Deserialización Insegura
La Deserialización Insegura ocurre cuando una aplicación deserializa datos no confiables sin validación adecuada. Los atacantes pueden manipular objetos serializados para lograr ejecución remota de código, escalada de privilegios o manipulación de datos. Afecta a lenguajes como Java, PHP, Python, Ruby y .NET.
Conceptos
(15)OWASP Top 10
OWASP Top 10
El OWASP Top 10 es un documento de referencia publicado por la Open Web Application Security Project que enumera las 10 categorías de riesgos de seguridad más críticas en aplicaciones web. Se actualiza periódicamente y es el estándar de facto para evaluación de seguridad web. La versión 2021 incluye: Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, y más.
CVE
Common Vulnerabilities and Exposures
CVE (Common Vulnerabilities and Exposures) es un sistema de identificación único y estandarizado para vulnerabilidades de seguridad conocidas públicamente. Cada vulnerabilidad recibe un identificador CVE-YEAR-NUMBER (por ejemplo, CVE-2021-44228 para Log4Shell). Es mantenido por MITRE Corporation y es el estándar global para referenciar vulnerabilidades.
CVSS
Common Vulnerability Scoring System
CVSS (Common Vulnerability Scoring System) es un estándar abierto para evaluar la severidad de vulnerabilidades de seguridad. Asigna una puntuación de 0.0 a 10.0 basada en métricas como el vector de ataque, la complejidad, los privilegios requeridos, la interacción del usuario y el impacto en confidencialidad, integridad y disponibilidad. La versión actual es CVSS v3.1.
CWE
Common Weakness Enumeration
CWE (Common Weakness Enumeration) es un catálogo comunitario de debilidades de software y hardware organizadas por categorías. A diferencia de CVE que identifica vulnerabilidades específicas, CWE clasifica los tipos de debilidades (por ejemplo, CWE-79 para XSS, CWE-89 para SQLi). Es mantenido por MITRE y sirve como taxonomía estándar para categorizar vulnerabilidades.
Zero-Day
Zero-Day / Vulnerabilidad de Día Cero
Una vulnerabilidad Zero-Day (0-day) es una falla de seguridad que es desconocida para el fabricante del software y para la que no existe parche disponible. El término 'día cero' significa que el desarrollador ha tenido cero días para corregir el problema. Estas vulnerabilidades son extremadamente valiosas tanto para atacantes como en mercados legítimos de seguridad.
RCE
Remote Code Execution / Ejecución Remota de Código
Remote Code Execution (RCE) es la capacidad de ejecutar código arbitrario en un sistema remoto sin tener acceso físico o previo a él. No es una vulnerabilidad en sí misma, sino un impacto que puede resultar de múltiples tipos de vulnerabilidades como command injection, SSTI, deserialization, SQLi o SSRF. Es el santo grial de bug bounty por su máximo impacto.
Account Takeover
Account Takeover (ATO)
Account Takeover (ATO) es el compromiso completo de una cuenta de usuario, permitiendo al atacante acceder y controlar la cuenta como si fuera el propietario legítimo. Puede lograrse mediante múltiples vectores: robo de credenciales, XSS, CSRF para cambio de email/contraseña, IDOR en funcionalidades de password reset, o manipulación de tokens OAuth.
Privilege Escalation
Privilege Escalation / Escalada de Privilegios
La Escalada de Privilegios es el proceso de obtener permisos o roles superiores a los asignados originalmente. Se divide en horizontal (acceder a recursos de otro usuario del mismo nivel) y vertical (obtener permisos de un nivel superior, como de usuario a admin). Es uno de los impactos más buscados en bug bounty por su severidad.
SOP
Same-Origin Policy / Política del Mismo Origen
La Same-Origin Policy (SOP) es un mecanismo de seguridad fundamental implementado en los navegadores web que restringe cómo los scripts de un origen pueden interactuar con recursos de otro origen. Dos URLs tienen el mismo origen si comparten protocolo, host y puerto. SOP previene que un sitio malicioso lea datos de otro sitio donde el usuario está autenticado.
CSP
Content Security Policy
Content Security Policy (CSP) es un mecanismo de seguridad implementado mediante una cabecera HTTP que permite a los sitios web controlar qué recursos (scripts, estilos, imágenes, etc.) puede cargar el navegador. CSP es la defensa principal contra XSS, ya que puede bloquear la ejecución de scripts inline y restringir las fuentes de scripts permitidas.
CORS
Cross-Origin Resource Sharing
Cross-Origin Resource Sharing (CORS) es un mecanismo basado en cabeceras HTTP que permite a un servidor indicar desde qué orígenes (dominio, protocolo, puerto) un navegador puede cargar recursos. CORS relaja la Same-Origin Policy de forma controlada, permitiendo a las APIs ser consumidas por front-ends en dominios diferentes de manera segura.
JWT
JSON Web Token
JSON Web Token (JWT) es un estándar abierto (RFC 7519) para crear tokens de acceso que contienen claims (declaraciones) codificadas en JSON. Un JWT consta de tres partes: header (algoritmo), payload (claims) y signature (firma). Se usan ampliamente para autenticación en APIs. Las vulnerabilidades en JWT pueden llevar a bypass de autenticación y escalada de privilegios.
OAuth
OAuth 2.0
OAuth 2.0 es un framework de autorización que permite a aplicaciones de terceros obtener acceso limitado a recursos de un usuario en otro servicio sin compartir credenciales. Utiliza flujos como Authorization Code, Implicit y Client Credentials. Las implementaciones incorrectas de OAuth son una fuente frecuente de vulnerabilidades como account takeover y robo de tokens.
Responsible Disclosure
Responsible Disclosure / Divulgación Responsable
La Divulgación Responsable es el proceso ético de reportar vulnerabilidades de seguridad al fabricante o propietario del software afectado, dándoles un plazo razonable para corregir el problema antes de hacerlo público. En bug bounty, este concepto se formaliza mediante programas con reglas claras de divulgación, tiempos de respuesta y políticas de Safe Harbor.
Scope
Scope / Alcance del Programa
El Scope (alcance) en bug bounty define qué activos, dominios, funcionalidades y tipos de vulnerabilidades son válidos para reportar. Cada programa de bug bounty tiene un scope específico que incluye los activos 'in scope' (donde puedes buscar) y 'out of scope' (donde no). Entender y respetar el scope es fundamental para evitar reportes inválidos y posibles consecuencias legales.
Herramientas
(5)Burp Suite
Burp Suite
Burp Suite es la herramienta de referencia para pruebas de seguridad de aplicaciones web, desarrollada por PortSwigger. Funciona como un proxy HTTP/S que intercepta, modifica y repite peticiones entre el navegador y el servidor. Incluye herramientas como Repeater (repetir peticiones), Intruder (fuzzing), Scanner (detección automática de vulnerabilidades) y extensiones como Logger++ y Autorize.
Nuclei
Nuclei by ProjectDiscovery
Nuclei es un escáner de vulnerabilidades rápido y flexible desarrollado por ProjectDiscovery. Utiliza templates YAML para definir peticiones y condiciones de detección, lo que permite escanear aplicaciones en busca de CVEs conocidos, misconfiguraciones, exposición de información y vulnerabilidades personalizadas. Su sistema de templates comunitario contiene miles de checks actualizados.
ffuf
Fuzz Faster U Fool
ffuf (Fuzz Faster U Fool) es una herramienta de fuzzing web ultrarrápida escrita en Go. Permite descubrir directorios, archivos, subdominios, parámetros y valores ocultos en aplicaciones web mediante diccionarios. Su velocidad, flexibilidad y capacidad de filtrado la convierten en la herramienta de fuzzing preferida por la comunidad de bug bounty.
httpx
httpx by ProjectDiscovery
httpx es una herramienta multipropósito de HTTP desarrollada por ProjectDiscovery. Permite sondear hosts en masa para obtener información como códigos de estado, títulos de página, tecnologías, certificados SSL, tamaño de respuesta y más. Es fundamental en la fase de recon para filtrar hosts vivos de listas masivas de subdominios y extraer información para priorizar objetivos.
XSS Hunter
XSS Hunter
XSS Hunter es una herramienta especializada para detectar y validar vulnerabilidades de Cross-Site Scripting (XSS), especialmente XSS ciego (Blind XSS). Proporciona un payload JavaScript que, al ejecutarse en el navegador de una víctima, envía automáticamente una captura de pantalla, cookies, URL, DOM y más al panel del hunter. Es esencial para detectar XSS en paneles de administración donde el atacante no tiene acceso visual.
Plataformas
(5)HackerOne
HackerOne
HackerOne es la plataforma de bug bounty más grande del mundo, conectando organizaciones con una comunidad global de hackers éticos. Las empresas publican programas con scopes definidos y recompensas, y los investigadores reportan vulnerabilidades a cambio de pagos que van desde 50€ hasta más de 100.000€. HackerOne también ofrece programas de divulgación de vulnerabilidades (VDP) y pentesting gestionado.
Bugcrowd
Bugcrowd
Bugcrowd es una de las principales plataformas de bug bounty y seguridad crowdsourced. Ofrece programas de recompensas por vulnerabilidades, pentesting gestionado y servicios de surface management. Se diferencia por su sistema de triage gestionado, donde un equipo de Bugcrowd valida los reportes antes de enviarlos al cliente, y su Vulnerability Rating Taxonomy (VRT) para clasificar la severidad.
Intigriti
Intigriti
Intigriti es una plataforma europea de bug bounty con sede en Bélgica que destaca por su enfoque en la comunidad y su cumplimiento con la normativa europea (GDPR). Ofrece programas de bug bounty, VDP y servicios de pentesting. Es conocida por su sistema de triage de calidad, sus eventos de hacking en vivo y sus challenges semanales de XSS que ayudan a la comunidad a mejorar sus habilidades.
YesWeHack
YesWeHack
YesWeHack es una plataforma francesa de bug bounty que se ha posicionado como la principal alternativa europea a HackerOne y Bugcrowd. Destaca por su programa DOJO de formación integrada, su cumplimiento estricto con la legislación europea, y su fuerte presencia en el sector público y defensa europeo. Ofrece bug bounty, VDP y auditorías de seguridad.
Bug Bounty
Bug Bounty / Recompensa por Vulnerabilidades
Bug Bounty es un modelo de seguridad donde las organizaciones ofrecen recompensas económicas a investigadores de seguridad (hackers éticos) que descubren y reportan vulnerabilidades en sus sistemas. Los programas definen un scope (alcance), reglas de participación y tablas de recompensa según la severidad. Es una forma de crowdsourcing de seguridad que complementa los equipos internos y las auditorías tradicionales.
¿Quieres payloads listos para usar?
Ver Cheatsheets