Referencia de Seguridad PowerWAF
Enciclopedia de Ataques
Una referencia completa de 29 ataques a aplicaciones web. Aprende cómo funcionan, revisa ejemplos reales y descubre cómo defenderte.
Toma de Control de Cuentas (ATO)
La Toma de Control de Cuentas (ATO) es un ataque en el que un actor malicioso obtiene acceso no autorizado a la cuenta d...
Más información →Inyección SQL Ciega (Blind SQL Injection)
La inyección SQL ciega es una forma avanzada de inyección SQL donde el atacante no puede ver los resultados de la consul...
Más información →Autenticación Rota
La autenticación rota se refiere a debilidades en los mecanismos de autenticación de una aplicación que permiten a los a...
Más información →Ataque de Inyección de Comandos
La inyección de comandos es una vulnerabilidad donde una aplicación ejecuta comandos arbitrarios del sistema en el siste...
Más información →Ataque de Credential Stuffing
Un ataque de credential stuffing es un ciberataque donde bots automatizados utilizan pares de usuario y contraseña robad...
Más información →Ataque de Directory Traversal
Un ataque de directory traversal explota la validación insuficiente de rutas de archivos proporcionadas por el usuario p...
Más información →Ataque de Amplificación DNS
Un ataque de amplificación DNS es un ataque de denegación de servicio distribuido (DDoS) basado en reflexión que explota...
Más información →Ataque HTTP/2 Rapid Reset
El ataque HTTP/2 Rapid Reset (CVE-2023-44487) explota el mecanismo de multiplexación y cancelación de streams en HTTP/2 ...
Más información →Inclusión de Archivos Locales (LFI)
La Inclusión de Archivos Locales (LFI) es una vulnerabilidad que permite a un atacante incluir y leer — o en algunos cas...
Más información →Ataque de Path Traversal
Un ataque de path traversal (también conocido como directory traversal o ataque dot-dot-slash) explota una validación de...
Más información →Inclusión de Archivos Remotos (RFI)
La Inclusión de Archivos Remotos (RFI) es una vulnerabilidad que permite a un atacante incluir y ejecutar un archivo alo...
Más información →Exposición de Datos Sensibles
La exposición de datos sensibles ocurre cuando una aplicación no protege adecuadamente información confidencial — como c...
Más información →Secuestro de Sesión
El secuestro de sesión es un ataque en el que un adversario toma control de la sesión web activa de un usuario legítimo ...
Más información →Inyección SQL (SQLi)
La inyección SQL es una técnica de ataque que explota vulnerabilidades en la capa de base de datos de una aplicación web...
Más información →Server-Side Request Forgery (SSRF)
Server-Side Request Forgery (SSRF) es un ataque en el que el atacante fuerza a una aplicación del lado del servidor a re...
Más información →Ataque de Inundación SYN
Una inundación SYN es un ataque de denegación de servicio que explota el handshake de tres vías de TCP enviando volúmene...
Más información →Ataque de Fuerza Bruta
Un ataque de fuerza bruta es un método de prueba y error utilizado para adivinar credenciales de inicio de sesión, clave...
Más información →Ataque de Clickjacking
El clickjacking (también conocido como UI redressing) es un ataque que engaña a los usuarios para que hagan clic en algo...
Más información →Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) es un ataque de inyección donde se insertan scripts maliciosos en sitios web de confianza. Cu...
Más información →Cross-Site Request Forgery (CSRF)
Cross-Site Request Forgery (CSRF) es un ataque que obliga a usuarios autenticados a ejecutar acciones no deseadas en una...
Más información →Ataque de Inundación HTTP
Una inundación HTTP es un ataque DDoS a nivel de aplicación (Capa 7) que abruma a un servidor web enviando volúmenes mas...
Más información →Ataque IDOR (Referencia Directa Insegura a Objetos)
Un ataque de Referencia Directa Insegura a Objetos (IDOR) ocurre cuando una aplicación expone una referencia directa a u...
Más información →Ataque JWT (JSON Web Token)
Un ataque JWT explota vulnerabilidades en la implementación de JSON Web Token para evadir la autenticación, escalar priv...
Más información →Ataque de Subida de Archivos Maliciosos
Un ataque de subida de archivos maliciosos explota aplicaciones web que aceptan subidas de archivos sin validar correcta...
Más información →Ataque de Password Spraying
El password spraying es un tipo de ataque de fuerza bruta que prueba un número reducido de contraseñas de uso común cont...
Más información →Ataque Slowloris
Slowloris es un ataque DDoS de bajo ancho de banda que agota el pool de conexiones de un servidor abriendo múltiples con...
Más información →Ataque de Inundación UDP
Una inundación UDP es un ataque volumétrico de denegación de servicio que explota la naturaleza sin conexión y sin estad...
Más información →Ataque de Entidad Externa XML (XXE)
Un ataque de Entidad Externa XML (XXE) explota parsers XML vulnerables que procesan declaraciones de entidades externas ...
Más información →Ataque de Bomba ZIP
Una bomba ZIP (también llamada bomba de descompresión o zip de la muerte) es un archivo comprimido malicioso diseñado pa...
Más información →