[manifest] / dossiers de exploit · edición 2026·05
biblioteca leída como un archivo filtrado. cada vulnerabilidad es un dossier: vector, anatomía, procedimiento, payloads, mitigación. nada de cursos lineales, nada de gamificación. lee, anota, ejecuta en el lab adjunto.
sección · A/5
vectores que insertan instrucciones en un canal de datos: dom, sql, plantilla, doc.
[A] inyección de contenido · revisado 2026-04-08
Aprende cómo los atacantes pueden explotar Cross-Site Scripting y Blind XSS para inyectar scripts maliciosos, robar credenciales, secuestrar sesiones y ejecutar código en el navegador de las víctimas.
input→reflexión→ejecución en dom→robo de sesión
[A] inyección de contenido · revisado 2026-04-15
Aprende cómo un atacante puede inyectar código HTML malicioso en una aplicación vulnerable para manipular la forma en que se presenta la información al usuario. Descubrirás cómo este tipo de ataque puede alterar el contenido de una página, insertar enlaces fraudulentos, formularios falsos o mensajes engañosos, y servir como punto de partida para otros ataques más avanzados. Verás las técnicas comunes de inyección y las mejores prácticas de defensa, como la validación y el escape adecuados de la entrada, así como el uso de librerías seguras de renderizado.
input→render bruto→defacement / phishing en dominio confiable
[A] inyección de contenido · revisado 2026-04-22
Descubre cómo los atacantes pueden inyectar código malicioso en tus consultas SQL para extraer, modificar o eliminar datos sensibles, y cómo, incluso sin recibir errores de la base de datos, pueden usar técnicas de Blind SQL Injection (consultas condicionales o basadas en tiempo) para inferir paso a paso la estructura y el contenido de la base de datos, comprometiendo así la confidencialidad, integridad y disponibilidad de la información.
input→query reescrito→exfiltración por tiempo / booleano
[A] inyección de contenido · revisado 2026-04-01
Aprende cómo los atacantes pueden explotar vulnerabilidades en consultas XPath para acceder a datos sensibles en aplicaciones web, provocar divulgación de información y escalar privilegios.
input→consulta xpath→bypass auth / lectura del documento
[A] inyección de contenido · revisado 2026-04-08
Aprende cómo una aplicación vulnerable puede ser explotada cuando un atacante inyecta expresiones maliciosas en motores de plantillas del lado del servidor. Descubrirás cómo este tipo de ataque permite desde la exposición de datos sensibles y el bypass de controles de seguridad, hasta la ejecución remota de código en el servidor. Verás las técnicas más comunes para construir cargas maliciosas en distintos motores de plantillas, así como los mecanismos de defensa recomendados: validación y escape correctos de la entrada, separación estricta entre lógica y presentación, y la configuración segura de los motores de plantillas para reducir su superficie de ataque.
{{ expr }}→render→evaluación de expresión→rce
[A] inyección de contenido · revisado 2026-04-15
Descubre cómo los atacantes pueden aprovechar la potencia del lenguaje de macros de LaTeX para inyectar contenido malicioso en documentos y plantillas, leer archivos internos, ejecutar comandos si el entorno lo permite, modificar archivos o provocar denegaciones de servicio.
macro→\input / \write18→lectura local / ejecución
sección · B/5
manipulación de identidad, confianza del navegador y coerción de tipos.
[B] acceso & sesión · revisado 2026-04-22
Aprende cómo los ciberdelincuentes pueden engañar a un usuario autenticado para que ejecute acciones no deseadas en una aplicación web (por ejemplo, transferencias de fondos o cambios de contraseña) simplemente visitando un enlace o cargando una imagen maliciosa. Verás las técnicas para construir peticiones forjadas, así como los mecanismos de defensa como tokens anti-CSRF, doble cookie y cabeceras SameSite.
víctima autenticada→form externo→cookie viaja→acción ejecutada
[B] acceso & sesión · revisado 2026-04-01
Aprende cómo un atacante puede acceder o manipular información a la que no debería tener permiso aprovechando referencias directas e inseguras a objetos, como identificadores en URLs, parámetros de formularios o rutas de archivos. Descubrirás cómo este tipo de vulnerabilidad permite exponer datos sensibles, modificar recursos ajenos o ejecutar acciones críticas sin la autorización adecuada. Verás ejemplos comunes de explotación de IDOR y las medidas de defensa más efectivas, como la implementación de controles de acceso a nivel de objeto, la validación robusta en el servidor y la adopción de principios de autorización estrictos en toda la aplicación.
id propio→id ajeno→acceso lateral→exfiltración
[B] acceso & sesión · revisado 2026-04-08
Aprende cómo los atacantes pueden explotar la coerción de tipos en PHP para manipular comparaciones débiles, alterar el flujo de ejecución y provocar bypass de autenticación o exposición de información sensible.
== suelto→0e123 == 0e456→bypass de autenticación
sección · C/5
abuso de formatos y oráculos que filtran información del lado del servidor.
[C] cripto & deserialización · revisado 2026-04-01
Aprende cómo los atacantes pueden aprovechar oráculos de relleno en esquemas de cifrado simétrico para descifrar datos sin conocer la clave y manipular mensajes cifrados.
ciphertext→oracle de padding→descifrado byte a byte
[C] cripto & deserialización · revisado 2026-04-08
Aprende cómo los atacantes pueden aprovechar la deserialización insegura en PHP para manipular objetos y ejecutar acciones maliciosas en una aplicación. Descubrirás cómo un input aparentemente inofensivo puede transformarse en la creación de objetos peligrosos, la modificación de la lógica de negocio, la escalada de privilegios o incluso la ejecución remota de código. Verás las técnicas utilizadas para construir payloads maliciosos y los mecanismos de defensa más efectivos, como la validación estricta de datos, el uso de formatos seguros de serialización y la aplicación del principio de menor privilegio en las clases y métodos.
blob→unserialize→__wakeup / __destruct→rce
sección · D/5
lectura, inclusión y ejecución que salen del directorio web.
[D] ejecución & archivos · revisado 2026-04-15
Aprende cómo los atacantes pueden aprovechar la vulnerabilidad Shellshock en Bash para inyectar definiciones de funciones maliciosas vía cabeceras HTTP o variables de entorno en servicios CGI, logrando la ejecución remota de comandos en el servidor y comprometiendo la integridad del sistema.
header http→variable de entorno→bash interpreta función→rce
[D] ejecución & archivos · revisado 2026-04-22
Aprende cómo los atacantes pueden explotar aplicaciones web para acceder a archivos locales y/o remotos del mismo servidor o de un servidor del atacante, lo que puede conducir a exposición de información sensible y/o ejecución remota de comandos.
param archivo→../../etc/passwd→lectura arbitraria / rce
[D] ejecución & archivos · revisado 2026-04-01
Descubre cómo los atacantes pueden explotar entidades externas en documentos XML mal configurados para acceder a archivos internos del servidor, realizar escaneos internos o incluso ejecutar ataques de denegación de servicio.
doc xml→entidad externa→ssrf / file://→exfiltración
sección · E/5
fuga de información del propio servicio antes de cualquier ataque.
[E] reconocimiento & perímetro · revisado 2026-04-08
Descubre cómo un atacante puede explotar vulnerabilidades SSRF (Server-Side Request Forgery) al inyectar URLs manipuladas en parámetros de la aplicación, forzando al servidor a realizar peticiones a recursos internos o externos controlados por él. Con esto puede exfiltrar credenciales y metadatos de nube, mapear servicios internos y pivotar para escalar privilegios y lanzar ataques posteriores.
url controlada→fetch interno→169.254.169.254→credenciales
[E] reconocimiento & perímetro · revisado 2026-04-15
Descubre cómo un atacante puede aprovechar configuraciones erróneas en los servidores DNS para solicitar una transferencia de zona (AXFR) y obtener así el fichero completo de zonas de un dominio. Con esta información, puede mapear todos los subdominios, direcciones IP y registros MX, exponiendo infraestructura interna y facilitando ataques posteriores.
axfr autorizado→volcado de registros→mapa de la red interna
final del manifiesto.
los dossiers se publican según pasan revisión.
siguiente edición
VL/MOD/2026·06 — 04 nuevos dossiers · sección F (forense)