video3

May 07, 2026 21:12 · 13:08 · Spanish · Whisper Turbo · 2 speakers
See transkript aegub 28 Kui teil on lisaküsimusi, pidage nõu oma arsti või apteekriga. Täiendamine alaliseks ladustamiseks →
Lecture Index
Ainult näitamine
0:01
S… Speaker 2 (video3)
Hola, ¿qué tal?
0:02
S… Speaker 1 (video3)
Mi nombre es Iker Marín López y pertenezco al Grupo 8 en la Asignatura
0:06
S… Speaker 1 (video3)
de Desarrollo Web Seguro.
0:08
S… Speaker 1 (video3)
Bueno, a continuación vamos a mostraros cómo funciona nuestra aplicación,
0:12
S… Speaker 1 (video3)
en especial esta es la última práctica número 3,
0:15
S… Speaker 1 (video3)
en la que hemos implementado el uso de las APIs para tener en cuenta el
0:19
S… Speaker 1 (video3)
tema de los endpoints y tal.
0:20
S… Speaker 1 (video3)
Y luego también por la implementación de algunas medidas contra
0:25
S… Speaker 1 (video3)
ataques, por así decirlo,
0:26
S… Speaker 1 (video3)
es decir, que protejan a la aplicación frente a ataques de ciberdelincuentes,
0:30
S… Speaker 1 (video3)
¿no? Y pues un poco enseñaros cuáles son las y las más...
0:35
S… Speaker 1 (video3)
fundamentales y las más pilares,
0:36
S… Speaker 1 (video3)
por así decir, de nuestra aplicación y para que vean que funcionan
0:40
S… Speaker 1 (video3)
y que son válidas.
0:41
S… Speaker 1 (video3)
Entonces,
0:42
S… Speaker 1 (video3)
primero de todo,
0:43
S… Speaker 1 (video3)
vamos a reiniciar la aplicación para regenerar todo
0:47
S… Speaker 1 (video3)
el tema de tablas y en general todo
0:51
S… Speaker 1 (video3)
lo que tiene que ver con la aplicación.
0:54
S… Speaker 1 (video3)
Vamos a volver a iniciarla.
0:56
S… Speaker 2 (video3)
Vale.
0:56
S… Speaker 2 (video3)
Ah,
0:57
S… Speaker 1 (video3)
bueno, y para probar todo tema de APIs y tal,
0:59
S… Speaker 1 (video3)
probaremos, bueno,
1:00
S… Speaker 1 (video3)
lo usaremos mediante la aplicación,
1:01
S… Speaker 1 (video3)
bueno,
1:02
S… Speaker 1 (video3)
mediante la extensión de Postman,
1:04
S… Speaker 1 (video3)
que es esta de aquí,
1:05
S… Speaker 1 (video3)
en la cual ya nos hemos logueado.
1:07
S… Speaker 1 (video3)
Esto,
1:08
S… Speaker 1 (video3)
por si queréis ver cómo funciona,
1:09
S… Speaker 1 (video3)
pues sería, traeríamos nuestra propia,
1:12
S… Speaker 1 (video3)
nuestro propio JSON,
1:14
S… Speaker 1 (video3)
¿no? Que sería de nuestro file,
1:16
S… Speaker 1 (video3)
de nuestra aplicación que está aquí implementado,
1:19
S… Speaker 2 (video3)
¿vale?
1:20
S… Speaker 1 (video3)
Lo que sería en la carpeta de Project Grupo 8,
1:22
S… Speaker 1 (video3)
pues lo tendríamos aquí.
1:24
S… Speaker 1 (video3)
Entonces, una vez lo traigamos,
1:25
S… Speaker 1 (video3)
dentro de aquí ya tendríamos nuestras implementaciones para hacer peticiones get,
1:29
S… Speaker 1 (video3)
por ejemplo,
1:30
S… Speaker 1 (video3)
para hacer peticiones también,
1:32
S… Speaker 1 (video3)
vamos a users,
1:34
S… Speaker 1 (video3)
el típico login,
1:35
S… Speaker 1 (video3)
tal.
1:35
S… Speaker 1 (video3)
Esto nos servirá para hacer eso.
1:37
S… Speaker 1 (video3)
Entonces, seguir más allá.
1:39
S… Speaker 1 (video3)
Vamos a hacer primero que os voy a mostrar
1:43
S… Speaker 1 (video3)
lo que sería.
1:44
S… Speaker 1 (video3)
Vamos a meternos como un usuario normal.
1:48
S… Speaker 1 (video3)
Vamos a verificar que no existen vulnerabilidades de tipo XSS.
1:53
S… Speaker 2 (video3)
Entonces,
1:54
S… Speaker 1 (video3)
para ello iniciamos sesión.
1:56
S… Speaker 1 (video3)
Y uno de los sitios donde podríamos verificar que existe esa seguridad
2:01
S… Speaker 1 (video3)
sería yéndonos a...
2:02
S… Speaker 1 (video3)
bueno, a lo que es la página principal,
2:04
S… Speaker 1 (video3)
en el tema de la reseña,
2:05
S… Speaker 1 (video3)
¿vale? Si nosotros vamos aquí,
2:07
S… Speaker 1 (video3)
podríamos,
2:08
S… Speaker 1 (video3)
por ejemplo, editar una reseña,
2:09
S… Speaker 1 (video3)
¿vale? Y en este texto,
2:11
S… Speaker 1 (video3)
que es texto enriquecido,
2:12
S… Speaker 1 (video3)
ya que introducimos HTML dentro de él,
2:14
S… Speaker 1 (video3)
que por ejemplo sería poniéndolo en negrita,
2:16
S… Speaker 1 (video3)
en cursiva,
2:17
S… Speaker 1 (video3)
tal, podríamos intentar introducir un script de XSS.
2:20
S… Speaker 1 (video3)
He buscado uno,
2:21
S… Speaker 1 (video3)
que es como el más básico,
2:23
S… Speaker 1 (video3)
por así decirlo,
2:23
S… Speaker 1 (video3)
que nos valdría para verificar que,
2:25
S… Speaker 1 (video3)
pues eso,
2:26
S… Speaker 1 (video3)
que es seguro frente a ataques XSS.
2:30
S… Speaker 1 (video3)
Que sería, por ejemplo,
2:31
S… Speaker 1 (video3)
este de aquí.
2:31
S… Speaker 1 (video3)
Si nosotros ahora mismo le damos a actualizar,
2:33
S… Speaker 1 (video3)
el propio HTML cargaría como si fuera un script de alert de XSS.
2:37
S… Speaker 1 (video3)
Pero como lo hemos analizado,
2:38
S… Speaker 1 (video3)
pues al final este texto lo que hace es como que no ejecuta ningún tipo de script
2:42
S… Speaker 1 (video3)
que pueda ser malicioso,
2:44
S… Speaker 1 (video3)
¿no? Entonces le damos a actualizar.
2:45
S… Speaker 1 (video3)
Y como podemos observar,
2:47
S… Speaker 1 (video3)
no nos sale ninguna alerta en la página ni nada de que se ha generado un XSS como
2:51
S… Speaker 1 (video3)
hemos introducido aquí en este código,
2:52
S… Speaker 1 (video3)
¿no? Así que podríamos decir que está correcto.
2:56
S… Speaker 1 (video3)
Vale, eso por aquí.
2:58
S… Speaker 1 (video3)
Ahora, si nosotros nos vamos a ir al tema
3:02
S… Speaker 1 (video3)
de pagos, por ejemplo,
3:03
S… Speaker 1 (video3)
para verificar otra vulnerabilidad,
3:05
S… Speaker 1 (video3)
que lo que hemos hecho también es,
3:07
S… Speaker 1 (video3)
por ejemplo, a la hora de hacer el pago de los planes,
3:10
S… Speaker 1 (video3)
hemos implementado una característica en nuestra página web
3:14
S… Speaker 1 (video3)
que nos permita meter códigos de descuento.
3:16
S… Speaker 1 (video3)
En este caso,
3:18
S… Speaker 1 (video3)
ahora mismo, veríamos lo que es el caso principal,
3:19
S… Speaker 1 (video3)
de que no tenemos ningún código de descuento aplicado,
3:22
S… Speaker 1 (video3)
pero si configuramos nuestro código de descuento como Haspass,
3:26
S… Speaker 2 (video3)
10, ¿vale?
3:27
S… Speaker 1 (video3)
Debería aplicarse un 10 % de descuento,
3:30
S… Speaker 1 (video3)
como estáis viendo aquí.
3:30
S… Speaker 1 (video3)
En este caso,
3:32
S… Speaker 1 (video3)
¿qué hacemos?
3:32
S… Speaker 1 (video3)
Lo que hacemos es que comprobemos este código de descuento en el backend y hemos implementado
3:36
S… Speaker 1 (video3)
un sistema de seguridad para que si nosotros,
3:38
S… Speaker 1 (video3)
por ejemplo, aquí metemos un código incorrecto,
3:41
S… Speaker 1 (video3)
¿vale? Lo intentaríamos aplicar,
3:43
S… Speaker 1 (video3)
no nos dejaría pasar el código.
3:45
S… Speaker 1 (video3)
Y si pulsamos varias veces,
3:47
S… Speaker 1 (video3)
al final, si llegamos a un límite de 5,
3:49
S… Speaker 1 (video3)
nos echaría por demasiado intentos.
3:51
S… Speaker 1 (video3)
Entonces, hemos creado un mensaje como
3:56
S… Speaker 1 (video3)
de excepción de,
3:57
S… Speaker 1 (video3)
vale, os habéis pasado de intentos,
3:58
S… Speaker 1 (video3)
os echamos de la sesión.
3:59
S… Speaker 1 (video3)
Y también hemos creado otro diferente para cuando el usuario cierra de sesión.
4:02
S… Speaker 1 (video3)
Y también para cuando el usuario se queda mucho tiempo sin interactuar
4:07
S… Speaker 1 (video3)
con la página y le eche por tiempo de espera.
4:09
S… Speaker 2 (video3)
¿Vale?
4:10
S… Speaker 1 (video3)
Esa sería otra bonita vez que está zanjada.
4:13
S… Speaker 1 (video3)
Otra diferente,
4:14
S… Speaker 1 (video3)
pues en este caso,
4:15
S… Speaker 1 (video3)
si nosotros por ejemplo iniciamos la sesión otra vez,
4:17
S… Speaker 2 (video3)
¿vale?
4:20
S… Speaker 1 (video3)
por aquí, demo,
4:21
S… Speaker 1 (video3)
1, 2, 3,
4:22
S… Speaker 1 (video3)
¿vale?
4:22
S… Speaker 1 (video3)
Vamos aquí,
4:24
S… Speaker 1 (video3)
hemos introducido la característica de que podamos,
4:27
S… Speaker 1 (video3)
por ejemplo, ¿dónde es?
4:28
S… Speaker 1 (video3)
Configuración,
4:29
S… Speaker 2 (video3)
aquí, ¿vale?
4:30
S… Speaker 1 (video3)
Configuración,
4:31
S… Speaker 1 (video3)
podemos introducir un elemento txt y meterlo dentro de lo
4:35
S… Speaker 1 (video3)
que sería, pues eso,
4:36
S… Speaker 1 (video3)
lo que sería el usuario,
4:38
S… Speaker 1 (video3)
lo cargaría en el servidor y podríamos intentar hacer
4:42
S… Speaker 1 (video3)
un ataque de path traversal para ver si es vulnerable frente a eso.
4:45
S… Speaker 1 (video3)
En este caso seleccionamos un documento.
4:47
S… Speaker 1 (video3)
Vamos a ir por ejemplo aquí,
4:49
S… Speaker 1 (video3)
vamos a meter,
4:50
S… Speaker 1 (video3)
pues mirad,
4:50
S… Speaker 1 (video3)
vamos a meter esto que es al final una tontería,
4:52
S… Speaker 1 (video3)
como no va a servir de nada.
4:53
S… Speaker 2 (video3)
Vale,
4:54
S… Speaker 1 (video3)
le vamos a subir documento y ya estaría dentro de lo
4:58
S… Speaker 1 (video3)
que es la aplicación.
5:00
S… Speaker 1 (video3)
En este caso,
5:01
S… Speaker 1 (video3)
si nosotros ahora mismo intentáramos hacer un ataque por lo
5:05
S… Speaker 1 (video3)
que sería el path transversal,
5:09
S… Speaker 1 (video3)
que nosotros lo que podemos hacer es cerrar sesión.
5:10
S… Speaker 1 (video3)
Y por ejemplo aquí podríamos intentar probar hacer esto.
5:14
S… Speaker 1 (video3)
Podríamos meter puntos,
5:16
S… Speaker 2 (video3)
barra,
5:17
S… Speaker 2 (video3)
punto, punto.
5:19
S… Speaker 1 (video3)
barra así hasta que buscáramos o sea sería ir probando hasta que buscáramos por ejemplo un directorio
5:23
S… Speaker 1 (video3)
activo no y luego podríamos intercolarnos en por ejemplo pues si lo tenemos metido en users
5:27
S… Speaker 1 (video3)
porque si fuera users y fuera yo que sé en este
5:32
S… Speaker 1 (video3)
caso no sé cómo lo tenía pero podría ser documentos
5:38
S… Speaker 1 (video3)
vale ahí entonces si nosotros hacemos esto debería darnos como como
5:43
S… Speaker 1 (video3)
pues eso como el acceso a un documento en el caso de que estuviera en esa ruta o
5:47
S… Speaker 1 (video3)
sea lo suyo sería ir probando pero claro eso es cuestión de más tiempo y al final
5:51
S… Speaker 1 (video3)
es lo que se sin un ataque organizado pero como os dais cuenta al hacer eso directamente hemos
5:55
S… Speaker 1 (video3)
creado un sistema en el que cuando verifique que está haciendo como una especie de búsqueda errónea en
6:00
S… Speaker 1 (video3)
la url te dirige directamente al login y ya está entonces no va a haber opción a
6:04
S… Speaker 1 (video3)
que el usuario puede ir escalando en un pack transversal yendo a un directorio
6:08
S… Speaker 1 (video3)
yendo a otro directorio.
6:09
S… Speaker 2 (video3)
Entonces,
6:10
S… Speaker 1 (video3)
pues bueno, es eso.
6:11
S… Speaker 2 (video3)
Más que nada, si queréis,
6:12
S… Speaker 1 (video3)
podemos verificar algo así más corto,
6:13
S… Speaker 1 (video3)
por ejemplo, esto de aquí.
6:14
S… Speaker 1 (video3)
Directamente es que nos llevaría,
6:15
S… Speaker 1 (video3)
pues eso, al login.
6:17
S… Speaker 2 (video3)
Entonces, si nosotros,
6:18
S… Speaker 1 (video3)
por ejemplo, seguimos buscando,
6:19
S… Speaker 1 (video3)
hacemos...
6:21
S… Speaker 2 (video3)
A ver,
6:23
S… Speaker 2 (video3)
voy a recargar la página.
6:24
S… Speaker 2 (video3)
Vale. Entonces,
6:25
S… Speaker 1 (video3)
aquí, por ejemplo, hiciéramos,
6:26
S… Speaker 2 (video3)
yo que sé,
6:28
S… Speaker 1 (video3)
otra vez esto.
6:30
S… Speaker 1 (video3)
no volvería a llevar aquí es que al final es eso es como ir buscando la rota pero vamos que lo
6:34
S… Speaker 1 (video3)
hemos bloqueado o sea que en principio no debería dejar y bueno
6:38
S… Speaker 1 (video3)
podríamos buscar tus ataques que los he buscado aquí por ejemplo podemos intentar buscar otra forma de atacarlo
6:42
S… Speaker 1 (video3)
pero por no alargar el vídeo básicamente lo dejamos por zanjado también
6:48
S… Speaker 1 (video3)
podríamos probar otro tipo de ataque vale que es
6:52
S… Speaker 1 (video3)
el ataque a las apis que en este caso es la parte más compleja de
6:56
S… Speaker 2 (video3)
lo que es en sí el
6:57
S… Speaker 1 (video3)
la aplicación y en este caso lo hemos configurado de la siguiente manera.
7:01
S… Speaker 1 (video3)
Si nosotros,
7:03
S… Speaker 1 (video3)
por ejemplo, vamos a lo que es en sí la aplicación Postman e intentamos hacer
7:07
S… Speaker 1 (video3)
un login, podríamos intentar hacer un login con el
7:12
S… Speaker 1 (video3)
usuario demo.
7:12
S… Speaker 1 (video3)
demo1 arroba haspas .local
7:19
S… Speaker 1 (video3)
Y de contraseña lo que ponemos es la contraseña del usuario.
7:22
S… Speaker 1 (video3)
1, 2, 3 y exclamación.
7:24
S… Speaker 1 (video3)
Entonces hacemos el send.
7:25
S… Speaker 1 (video3)
Como podemos observar nos dice autorización successful tokens
7:29
S… Speaker 2 (video3)
are created in cookie.
7:30
S… Speaker 1 (video3)
Perfecto.
7:31
S… Speaker 1 (video3)
Hemos creado las cookies con los tokens para así poder verificar que el usuario borra
7:35
S… Speaker 1 (video3)
los planes que son suyos,
7:36
S… Speaker 1 (video3)
que tenemos la sesión abierta.
7:38
S… Speaker 1 (video3)
Es decir, esto es como para que el usuario verifique que esa misma sesión es la que está intentando
7:42
S… Speaker 1 (video3)
realizar cambios.
7:43
S… Speaker 1 (video3)
Porque de cara a la seguridad de la página web tenemos que verificar que el usuario...
7:48
S… Speaker 1 (video3)
Si no es ese mismo usuario,
7:49
S… Speaker 1 (video3)
esa misma credencial,
7:50
S… Speaker 1 (video3)
por ejemplo, en nuestro caso,
7:51
S… Speaker 1 (video3)
la que estuve intentando borrar,
7:52
S… Speaker 1 (video3)
no le dejara.
7:53
S… Speaker 2 (video3)
O sea,
7:53
S… Speaker 1 (video3)
para evitar que un usuario pueda estar borrando credenciales de otro usuario o
7:58
S… Speaker 1 (video3)
cosas así.
7:58
S… Speaker 1 (video3)
Luego también hay cosas en concreto que sí que son cuestión de que pueda ir
8:02
S… Speaker 1 (video3)
el admin o no.
8:03
S… Speaker 1 (video3)
Por ejemplo, si nos vamos aquí a WebSecurityConfig,
8:06
S… Speaker 1 (video3)
hemos configurado Miral.
8:08
S… Speaker 1 (video3)
Hemos configurado como,
8:09
S… Speaker 1 (video3)
por ejemplo, la ruta de ver lo que son los profiles,
8:12
S… Speaker 1 (video3)
las email profiles,
8:13
S… Speaker 1 (video3)
solo las puede ver el admin.
8:14
S… Speaker 1 (video3)
Si queremos ver también todos los usuarios,
8:16
S… Speaker 1 (video3)
por ejemplo, también solo puede ver el admin,
8:18
S… Speaker 2 (video3)
¿vale? Entonces,
8:19
S… Speaker 1 (video3)
ese tipo de cosas,
8:20
S… Speaker 1 (video3)
ahora lo vamos a comprobar.
8:21
S… Speaker 1 (video3)
Entonces, una vez ya hecho el login con el usuario de modo 1,
8:24
S… Speaker 1 (video3)
Haspers, local,
8:25
S… Speaker 1 (video3)
el propio Postman lo que hace es que se
8:30
S… Speaker 1 (video3)
guarda esa cookie hasta que luego cambiemos de usuario o hagamos
8:34
S… Speaker 1 (video3)
un logout o lo que sea.
8:35
S… Speaker 1 (video3)
Y en este caso,
8:36
S… Speaker 1 (video3)
si ahora nosotros, por ejemplo,
8:37
S… Speaker 1 (video3)
vamos a get all users,
8:38
S… Speaker 1 (video3)
que como hemos podido comprobar antes,
8:39
S… Speaker 1 (video3)
aquí está puesto solo para el role admin,
8:43
S… Speaker 1 (video3)
¿vale?
8:44
S… Speaker 1 (video3)
Si nosotros ahora mismo intentáramos hacer un get all users,
8:46
S… Speaker 1 (video3)
¿vale?
8:46
S… Speaker 1 (video3)
En este caso,
8:48
S… Speaker 1 (video3)
tenemos que configurar aquí como quisiéramos ordenar los usuarios,
8:52
S… Speaker 1 (video3)
pero bueno, como nosotros nos da igual la ordenación,
8:53
S… Speaker 1 (video3)
pues lo dejamos así.
8:54
S… Speaker 2 (video3)
Y si os dais cuenta,
8:57
S… Speaker 1 (video3)
pone access denied,
8:58
S… Speaker 1 (video3)
¿vale?
8:59
S… Speaker 1 (video3)
Si nosotros subimos esto de aquí.
9:00
S… Speaker 1 (video3)
También pondría forbidden,
9:02
S… Speaker 2 (video3)
access denied,
9:02
S… Speaker 1 (video3)
status 403.
9:04
S… Speaker 1 (video3)
Así que hemos cumplido con una de las propiedades y es que el usuario no
9:08
S… Speaker 1 (video3)
tenga acceso a cosas que son del admin,
9:10
S… Speaker 1 (video3)
por ejemplo, sin ser el admin.
9:12
S… Speaker 1 (video3)
Entonces, eso guay.
9:13
S… Speaker 2 (video3)
Ahora,
9:14
S… Speaker 2 (video3)
por ejemplo,
9:15
S… Speaker 1 (video3)
otra implementación que se me ocurre probar.
9:17
S… Speaker 1 (video3)
Si nosotros nos fuéramos a la base de datos,
9:20
S… Speaker 1 (video3)
¿vale?
9:20
S… Speaker 1 (video3)
Nosotros veríamos...
9:22
S… Speaker 1 (video3)
que en las credenciales,
9:23
S… Speaker 1 (video3)
por ejemplo, tenemos cuatro credenciales creadas por defecto.
9:26
S… Speaker 1 (video3)
Las dos primeras,
9:27
S… Speaker 1 (video3)
la de Gema y Netflix,
9:28
S… Speaker 1 (video3)
pertenecen al usuario número dos,
9:30
S… Speaker 1 (video3)
¿vale?
9:30
S… Speaker 1 (video3)
Y las otras dos pertenecen al usuario número tres.
9:34
S… Speaker 1 (video3)
Aquí podemos verificar que el ID de las credenciales son 1,
9:38
S… Speaker 1 (video3)
2, 3 y 4.
9:39
S… Speaker 1 (video3)
La 3 y 4 pertenecen al usuario número 3 y el 1 y 2 pertenecen al usuario número 2.
9:43
S… Speaker 1 (video3)
Entonces, si nosotros vamos aquí a los usuarios,
9:45
S… Speaker 1 (video3)
podríamos verificar que el usuario admin
9:53
S… Speaker 1 (video3)
es el 1.
9:54
S… Speaker 1 (video3)
Como podemos ver aquí,
9:58
S… Speaker 1 (video3)
el usuario admin es el 1,
9:59
S… Speaker 1 (video3)
el usuario 2 es el demo 1 y el usuario 3 es el demo 2.
10:02
S… Speaker 1 (video3)
Por tanto,
10:03
S… Speaker 1 (video3)
es fácil,
10:04
S… Speaker 1 (video3)
es como 1, 2, 3.
10:05
S… Speaker 1 (video3)
Entonces, si nosotros ahora nos vamos aquí a Postman con la sesión iniciada del demo 1,
10:09
S… Speaker 1 (video3)
que es el que hemos iniciado en un principio,
10:11
S… Speaker 2 (video3)
y quisiéramos,
10:12
S… Speaker 1 (video3)
por ejemplo, en credenciales,
10:13
S… Speaker 1 (video3)
borrar una credencial,
10:16
S… Speaker 1 (video3)
¿vale? Borrar la credencial del usuario,
10:17
S… Speaker 1 (video3)
por ejemplo, el usuario 3,
10:18
S… Speaker 1 (video3)
¿no?
10:20
S… Speaker 1 (video3)
¿Qué credencial queremos borrar?
10:22
S… Speaker 1 (video3)
Hemos dicho que la 1,
10:23
S… Speaker 1 (video3)
la 2, la 3 y la 4,
10:24
S… Speaker 1 (video3)
la 1 y la 2 pertenecen al usuario 1 y la 3 y la 4 pertenecen
10:28
S… Speaker 1 (video3)
al usuario 2.
10:29
S… Speaker 1 (video3)
Entonces podemos aquí intentar borrar la credencial 3,
10:32
S… Speaker 1 (video3)
le damos a send y no tienes permiso para eliminar esta credencial,
10:36
S… Speaker 1 (video3)
por tanto estaría bien.
10:37
S… Speaker 1 (video3)
Además, como puedo ver aquí abajo,
10:38
S… Speaker 1 (video3)
nos lo pone aquí el mensaje de no podremos eliminar
10:42
S… Speaker 1 (video3)
la credencial y además nos pondría que es un error 403 forbidden,
10:45
S… Speaker 2 (video3)
es decir, prohibido.
10:47
S… Speaker 1 (video3)
Así que también tendríamos acceso prohibido para intentar cambiar,
10:49
S… Speaker 1 (video3)
pues eso,
10:51
S… Speaker 1 (video3)
credenciales o cosas que tengan que ver con otros usuarios,
10:54
S… Speaker 1 (video3)
¿vale? Luego también,
10:56
S… Speaker 1 (video3)
otra implementación que podemos hacer para verificar la seguridad sería,
10:59
S… Speaker 1 (video3)
por ejemplo, vale,
11:00
S… Speaker 1 (video3)
vamos a hacer ahora un login del admin,
11:03
S… Speaker 2 (video3)
¿no? Entonces,
11:03
S… Speaker 1 (video3)
vamos a verificar que con el admin sí que nos va a dejar acceso a borrar lo que nos dé la
11:07
S… Speaker 1 (video3)
gana o hacer lo que sea.
11:09
S… Speaker 2 (video3)
Admin,
11:10
S… Speaker 2 (video3)
adminhaspas .com,
11:17
S… Speaker 1 (video3)
vale.
11:18
S… Speaker 1 (video3)
Y la contraseña sería...
11:21
S… Speaker 2 (video3)
Vale.
11:23
S… Speaker 2 (video3)
Y
11:27
S… Speaker 1 (video3)
entonces hacemos esto.
11:28
S… Speaker 1 (video3)
Nos da el completed.
11:30
S… Speaker 1 (video3)
O sea, el completed 200.
11:31
S… Speaker 1 (video3)
O sea, que ha ido todo bien.
11:32
S… Speaker 1 (video3)
Successful.
11:33
S… Speaker 1 (video3)
Perfecto.
11:34
S… Speaker 1 (video3)
Entonces, ahora mismo ya estamos logueados como el admin.
11:36
S… Speaker 1 (video3)
Y nosotros ahora mismo nos vamos,
11:37
S… Speaker 1 (video3)
por ejemplo, a getAllUsers,
11:40
S… Speaker 1 (video3)
¿vale?
11:40
S… Speaker 1 (video3)
Que es un apartado que solo sería disponible para el admin.
11:42
S… Speaker 1 (video3)
Si nosotros lo hacemos,
11:43
S… Speaker 1 (video3)
antes nos daba denegado,
11:45
S… Speaker 1 (video3)
¿verdad? Como lo tenemos aquí abajo el mensaje que no se ha recargado.
11:47
S… Speaker 1 (video3)
Entonces, le damos a send.
11:49
S… Speaker 1 (video3)
En este caso cambia y ya está.
11:51
S… Speaker 1 (video3)
Y nos daría el número de usuarios y nos daría en general
11:55
S… Speaker 1 (video3)
toda la información sobre los usuarios.
11:57
S… Speaker 1 (video3)
¿Qué más?
12:00
S… Speaker 1 (video3)
Además, si por ejemplo nosotros ahora fuéramos a GetAllCredentials,
12:05
S… Speaker 1 (video3)
en este caso,
12:06
S… Speaker 1 (video3)
como somos el admin,
12:07
S… Speaker 1 (video3)
también nos debería dejar.
12:08
S… Speaker 1 (video3)
Por tanto, si le damos aquí...
12:10
S… Speaker 2 (video3)
Ah,
12:11
S… Speaker 1 (video3)
vale, joder.
12:12
S… Speaker 1 (video3)
Vale, ya está.
12:13
S… Speaker 2 (video3)
Esto de aquí que no lo he quitado.
12:14
S… Speaker 1 (video3)
No lo he puesto por ordenación.
12:15
S… Speaker 1 (video3)
Vale, esto por aquí.
12:17
S… Speaker 2 (video3)
Ahora sí, que me he quedado,
12:18
S… Speaker 1 (video3)
me he quedado callado y digo,
12:20
S… Speaker 1 (video3)
uy, qué raro.
12:21
S… Speaker 1 (video3)
En este caso sí que nos daría todo y ya está,
12:23
S… Speaker 1 (video3)
o sea que problemas ninguno.
12:25
S… Speaker 1 (video3)
Además aquí podemos ver las cookies del propio admin que se han quedado guardadas,
12:28
S… Speaker 1 (video3)
son las que se van registrando.
12:29
S… Speaker 1 (video3)
Y además hemos puesto una caducidad de que las cookies tengan 5 minutos de caducidad,
12:33
S… Speaker 1 (video3)
o sea que pasa un cierto tiempo,
12:35
S… Speaker 2 (video3)
caducan y ya está.
12:36
S… Speaker 1 (video3)
Así que eso también está cubierto.
12:39
S… Speaker 1 (video3)
y bueno eso sería un poco lo que es en sí la práctica tampoco puedo enseñaros
12:43
S… Speaker 1 (video3)
mucho más porque en sí hay luego hay vulnerabilidades que son más de ataques más específicos
12:48
S… Speaker 1 (video3)
y ataques más complejos que llevarían más tiempo entonces no me da para preparar
12:52
S… Speaker 1 (video3)
en un vídeo cómo funcionaría la seguridad ante esos ataques pero
12:56
S… Speaker 1 (video3)
básicamente los más pilares y los más importantes los hemos cubierto
13:00
S… Speaker 1 (video3)
en un vídeo así que nada eso ha sido todo y
13:04
S… Speaker 1 (video3)
ya está nos vemos en clase y muchas gracias por vuestra atención

This transcript was generated by AI (automatic speech recognition). May contain errors — verify against the original audio for critical use. AI policy

❤️ Meeldib STT.ai? Räägi sõpradele!
Kokkuvõte
Klõpsa selle ärakirja AI kokkuvõtte genereerimiseks kokkuvõtvalt.
Kokkuvõtvalt...
Küsi AI selle transkripti kohta
Küsige selle ärakirja kohta midagi, AI leiab asjakohased lõigud ja vastab.
[Translation temporarily unavailable. Please try again.]