Hacking - Categoría -
-
Escribí una clave API en el frontend con Vibe Coding y terminé siendo hackeado y me cobraron una tarifa elevada. Aquí hay algunos ejemplos y medidas de seguridad.
La programación Vibe, un estilo de desarrollo moderno que se centra en la creación rápida de aplicaciones con el objetivo de que funcionen, está ganando popularidad. Los servicios BaaS, como Supabase y Firebase, en particular, permiten completar operaciones de autenticación y bases de datos con tan solo unas pocas líneas de código, lo que los hace ideales para la creación rápida de prototipos y la mejora de la interfaz de usuario. -
[Seguridad de IA] Deshabilitar clases específicas alterando el modelo | Informe sobre la crisis de combustible de HackTheBox
Nos encontramos en una era en la que la IA no solo aprende y toma decisiones, sino que los modelos que las toman también son blanco de ataques. En particular, las ponderaciones y los sesgos de los modelos de aprendizaje automático son fundamentales para determinar sus resultados, y su manipulación puede distorsionar intencionalmente los resultados de las predicciones. Dichos modelos... -
[Seguridad con IA] Ataque de ransomware gestionado por IA con inyección inmediata | Informe sobre el ransomware TrynaSob de HackTheBox
Nos encontramos en una era en la que la IA ya no es solo un "compañero de conversación", sino que también puede ser una herramienta para los atacantes. En los últimos años, incluso en el mundo del ransomware, han surgido bots de negociación de IA que automatizan las interacciones con las víctimas, agilizando el pago de rescates. Sin embargo, la autoridad y la información que posee esta IA... -
[Seguridad de IA] Secuestro de agentes de IA que explotan las llamadas a funciones de OpenAI: ¡Prácticas y estrategias de defensa explicadas! Informe de la encuesta de fidelización de HackTheBox
La evolución de la IA ya ha ido más allá de la simple conversación con humanos. Los modelos de lenguaje a gran escala (LLM) recientes pueden invocar funciones y API externas en respuesta a las solicitudes de los usuarios, ejecutando sistemas y servicios reales. La función de llamada a funciones de OpenAI... -
[Seguridad de IA] Cómo engañar a un LLM con una inyección de avisos | Informe de Asuntos Externos de HackTheBox
Vivimos en una era donde la IA actúa como un sustituto de la toma de decisiones humana. ¿Qué pasaría si pudiéramos "engañar" un poco a esa IA? En esta ocasión, asumimos el reto de un CTF para superar la revisión de viajes internacionales mediante IA. Utilizamos la inyección de avisos, una técnica que aprovecha una debilidad de los modelos de lenguaje a gran escala (LLM). -
[Guía práctica] Hacking con RCE de la vulnerabilidad SSTI en HackTheBox. Descubre las causas y las contramedidas de las vulnerabilidades | Informe de Spookifier
Los motores de plantillas se utilizan ampliamente en aplicaciones web para combinar HTML y datos y generar visualizaciones. Por ejemplo, se utilizan en el backend para incrustar nombres de usuario, contenido de publicaciones y otra información en HTML. Sin embargo,... -
Cómo empezar a usar Hack The Box | Una comparación exhaustiva de planes gratuitos y de pago, Labs y Academy
Muchas personas que aspiran a ser ingenieros de seguridad y desean mejorar sus habilidades a través de CTFs pueden haberse interesado en Hack the Box (HTB) con esto en mente. Sin embargo, al visitar el sitio web oficial, encontrarán una amplia variedad de servicios (Laboratorios, Academia, CTF, Negocios, etc.) disponibles. -
[XSS Demo] ¡Intenté piratear un sitio web en una sola línea!
"¡Intenté crear una aplicación de tablero de anuncios que pueda usar etiquetas HTML!" ¿Qué pasaría si un trabajo de un ingeniero principiante fuera "asumido" con solo una publicación de línea? Esta vez, utilizaremos un ejemplo de "Scripting de sitios cruzados (XSS)", que son los conceptos básicos de la seguridad, para ver cuán vulnerables son ... -
Para principiantes: ¡Practica con Boot de primavera y mybatis! Riesgos de inyección y prevención de SQL
Las medidas de seguridad son inevitables al desarrollar aplicaciones web. Entre ellos, la "inyección SQL" se conoce como una amenaza grave para las bases de datos. En este artículo, explicaremos de manera fácil de entender cómo funciona la inyección SQL, y explicaremos qué es realmente ... -
[Seccon Beginners CTF 2024] Escritura web
No fue un muy buen resultado, pero participé en el Seccon Beginners CTF 2024, así que dejaré un resumen como memo. SSRFORLFI Fuente Verifique la estructura de la carpeta después de desabrochar tar.gz es el siguiente. $ Find ./ ./ ./docker-compose.yml ./.env ./app ...