Nuevos labs cada semana — Accede a todos desde 5€/mes
Ver labs →Técnicas reales, bypasses y chains
Una vez que has reportado tu primer bug, llega el momento de combinar técnicas. Account takeovers, abuso de features, recon profundo. La mayoría es público; unos pocos artículos requieren cuenta.
- Account takeover (OTP brute force, email normalization)
- IDOR en APIs y abuso de funcionalidad
- Stored XSS en contextos no obvios (SVG, atributos)
- Recon avanzado y enumeración masiva
0-click Account Takeover — OTP brute force + Email Normalization
Dos fallos por separado parecen menores. Juntos, te dan ATO completo conociendo solo el email. Bounty real: €560 y 12 minutos de explotación.
Todos los artículos del nivel intermedio
23 artículos
0-click Account Takeover — OTP brute force + Email Normalization
Dos fallos por separado parecen menores. Juntos, te dan ATO completo conociendo solo el email. Bounty real: €560 y 12 minutos de explotación.
File Upload — bypasses de extension, content-type y magic bytes
10 bypasses para subir webshells: doble extensión, null byte, content-type spoof, magic bytes, polyglots, race conditions y abuso de path traversal.
JWT — vulnerabilidades, bypasses y manipulación de claims
alg=none, RS256→HS256 confusion, kid SQLi/path traversal, jku spoofing, secret cracking con hashcat. Cómo cazar JWTs mal verificados.
OAuth attacks — state CSRF, redirect_uri bypass, code/token leakage
El state parameter ausente, redirect_uri mal validado, response_type confusion. Cómo robar OAuth tokens y forzar account linking.
SQL Injection — metodología completa con time-based, UNION y RCE
Detección por isomorphic queries, payloads time-based para 4 motores, escalación a RCE (xp_cmdshell, INTO OUTFILE, UDFs) y bypasses cross-field.
2FA bypass — TOTP brute force, response manipulation, fallback abuse, race conditions
Técnicas reales de bypass de 2FA: brute force de TOTP, manipulación de response (status 200 sin token válido), fallback a OTP por email, race conditions en setup.
Account enumeration via LinkedIn + phone — exposure de millones de usuarios
Caso real: account enumeration en API combinada con scraping de LinkedIn + reverse phone lookups para correlacionar identidades reales con accounts privados. Privacy impact crítico.
CSRF explotación avanzada — SameSite bypass, JSON CSRF, Flash, file upload CSRF
Técnicas avanzadas de CSRF más allá del clásico form submit: SameSite=Lax bypass via GET, JSON CSRF con Content-Type tricks, file upload CSRF y exploitation chains.
IDOR y BAC — metodología manual para encontrar broken access control
Cómo identificar IDOR (Insecure Direct Object Reference) y BAC (Broken Access Control) manualmente: dual-account testing, parameter swap, role escalation, hidden parameters.
OAuth attacks — state CSRF, redirect_uri bypass, token reuse, IDOR de tokens
Vulnerabilidades en flujos OAuth 2.0: ausencia de state parameter, redirect_uri loose validation, token reuse cross-app, IDOR en endpoints de token refresh.
Password reset — Puny code, header injection, email normalization, host header
Bypass de password reset con Unicode confusables, Host header injection, email normalization (gmail + alias), token leakage en referer, response manipulation.
postMessage — vulnerabilidades comunes: origin bypass, XSS sink, IDOR cross-window
Cómo identificar y explotar vulnerabilidades en window.postMessage(): listeners sin validación de origin, payloads JSON inseguros que llegan a DOM XSS, IDOR cross-origin.
Race conditions en marketplace — cupones aplicados N veces, stock negativo, doble checkout
Cómo identificar y explotar race conditions en flujos de e-commerce: cupones de descuento aplicados múltiples veces, productos con stock 0 vendidos, doble checkout para refunds.
Stored XSS €1200 — bypass de sanitizer via SVG href javascript: con entity encoding
Walkthrough de un report real €1200: stored XSS en POE bypassando sanitizer fix mediante SVG con href=`javascript:` y HTML entity encoding sobre los caracteres filtrados.
XSS contexts — payloads por contexto (HTML, atributo, JS, URL, CSS)
Cómo identificar el contexto exacto donde se inyecta tu input y los payloads que escapan cada uno: HTML body, atributo HTML, JS string, JS event, URL, CSS, JSON.
Command Injection — bypasses con espacio, encoding y backticks
Inyección de comandos en endpoints que pasan input al shell. Bypasses de filtros: ${IFS}, $@, ;|&, encoded null bytes, output redirection a archivo.
CORS misconfigurations — null origin, wildcard credentials y subdomain trust
Cuando ACAO refleja cualquier Origin con ACAC=true, cuando null se acepta, cuando subdominios son wildcardeados — leak de datos autenticados cross-site.
NoSQL Injection — MongoDB, Firebase y bypasses con operadores
Cómo inyectar en queries NoSQL: $ne/$gt/$regex en MongoDB, bypass de auth, extracción blind y diferencias con SQLi clásico.
Open Redirect vía Backslash Bypass en redirect_url del Login OAuth
El validador del cliente comprueba //, : y /. El backslash pasa. Los navegadores lo normalizan a slash y la víctima acaba en evil.tld con la cookie de sesión activa.
Acortador de URL como PII leak masivo — extracción de ~300 personas/hora
Códigos de baja entropía + sin rate limiting + ticket sin auth = enumeración de teléfonos, tarjetas (BIN+últimos 4) y compras de clientes reales.
Rate limit bypasses — IP rotation, headers spoof, casing y endpoints alternativos
X-Forwarded-For, IP rotation con cloudfront IPs, casing de path, encoding tricks, race condition de bucket. Cómo encontrar los gaps en el throttling.
Stored XSS vía SVG con href javascript: en chat — reclasificación de Self-XSS
Un payload SVG subido como adjunto. Filtro bypassed. Renderizado inline en el contexto principal. Cualquier participante del chat queda expuesto al click.
XXE — XML External Entity injection y exfiltración OOB
Cómo abusar parsers XML mal configurados: leer archivos del servidor, SSRF interna, blind XXE via DTD external. Endpoints típicos: SAML, SOAP, parser de configuración.
Crea cuenta gratis para guardar tu progreso y desbloquear más artículos.