La dimensión digital está llena de nudos comunicativos denominados APIs (Interrelacionadores de Construcción de Interfaces), los cuales operan como enlaces virtuales conexos a varios programas. Vale destacar que la manipulación y la presentación de estas APIs puede alterarse significativamente basado en el conocimiento y la destreza del administrador.
Los expertos en codificación ven a las APIs como instrumentos esenciales que favorecen el diseño de software más poderoso y efectivo. Para los noveles entusiastas de la codificación, las APIs pueden suponer una prueba inicial. A pesar de ello, sin tener en cuenta el nivel de dominio, todos interactuamos permanentemente con las APIs, a veces sin ser conscientes de ello. Cada interacción que llevamos a cabo en una aplicación móvil involucra alguna conexión con varias APIs.
Las APIs generales o públicas brindan un acceso sin restricciones para su uso. Los expertos en codificación las emplean para generar software que sea compatible con servicios de empresas ajenas. Contrariamente, las APIs confidenciales se reservan exclusivamente para un grupo seleccionado de operadores o aplicaciones.
| Clasificación de API | Detalles | Ejemplo |
|---|---|---|
| Generales | Abiertas a todos | API del Buscador de Google |
| Confidenciales | Acceso cerrojado para ciertos usuarios | API corporativa interna |
En función de la organización y vinculación de los datos, las APIs se distribuyen de diversas formas. Las APIs REST (Traductor Representacional de Estado) son predominantemente utilizadas y hacen uso del protocolo HTTP para transmitir y recoger datos. Las API SOAP (Protocolo de Conexión para Objetos Simplificados) también aprovechan HTTP, pero son más elaboradas y proporcionan más funcionalidades. Finalmente, las APIs GraphQL son una nueva variante que permite a los operadores definir con precisión los datos requeridos.
# Ejemplo de solicitud de una API REST
import requests
respuesta = requests.get('https://api.ejemplo.com/info')
print(respuesta.json())
No importa la categoría de API, su resguardo es trascendental. Las APIs funcionan como un acceso virtual a los datos y servicios de un programa, por lo que es imprescindible protegerlas de amenazas cibernéticas. Esto comprende la confirmación de identidades del usuario, la concesión de solicitudes y resguardo contra embates como la inyección de SQL y el Cross-Site Scripting (XSS).
En conclusión, a pesar de la diversidad en la apariencia de las APIs en función del grado de conocimiento de los usuarios, todas comparten un propósito idéntico: actuar como un nexo entre varios programas. Ya seas un especialista en creación de software o solamente un usuario regular, es fundamental tener entendimiento sobre la manipulación y salvaguarda de las APIs.
En el ámbito de protección digital, "Simulación de Ataque" y "Fuzzing" son dos conceptos que se encuentran a menudo. A pesar de que ambos tienen como objetivo la detección de vulnerabilidades en un sistema, las distinciones entre los dos son esenciales.
"Simulación de Ataque" se refiere a una táctica donde se replican acciones malintencionadas en un sistema controlado con el propósito de descubrir posibles debilidades. Esta táctica ayuda a analizar la fortaleza del sistema ante diversos tipos de intrusión hostil.
El "Fuzzing", en contraste, se refiere a una estrategia de comprobación de software en la que se inyectan datos aleatorios y mal estructurados en un sistema para buscar errores. La finalidad principal del Fuzzing es encontrar problemas de seguridad que podrían ser una puerta de entrada para piratas informáticos.
| Simulación de Ataque | Fuzzing |
|---|---|
| Imita conductas hostiles | Inyecta datos erróneos o aleatorios |
| Estudia la resistencia del sistema | Localiza problemas de seguridad |
| Escenario controlado | Genera fallos en el sistema |
La "Simulación de Ataque" tiene como objetivo principal analizar la resistencia de un sistema frente a distintos tipos de intrusión. Dentro de su alcance puede estar la evaluación de la efectividad de los controles de seguridad vigentes y la detección de áreas susceptibles de mejora.
En contraste, el "Fuzzing" se enfoca en rastrear problemas de seguridad en un sistema. Para ello, inyecta datos erróneos o aleatorios que generan fallas, las cuales se analizan cuidadosamente para detectar posibles fallos convincentes.
Un caso de "Simulación de Ataque" puede ser un equipo de protección digital que ejecute un ataque simulado de phishing en una entidad para revisar la efectividad de las barreras de seguridad actuales y la capacidad de los trabajadores para identificar y enfrentarse a estas amenazas.
Un caso de "Fuzzing" puede ser un grupo de desarrolladores que inyecta datos aleatorios en su software con el propósito de ubicar y solucionar eventuales brechas de seguridad antes de que el software se libere al público.
Para concluir, tanto la "Simulación de Ataque" como el "Fuzzing" son tácticas eficaces para detectar debilidades en un sistema, aunque se diferencian en su enfoque y uso. Esta comprensión de las diferencias es vital para los expertos en seguridad informática para elegir el método más apropiado según su situación específica.
El auge de las APIs ha dejado una oportunidad abierta para los ciberdelincuentes, resaltando la necesidad de estrategias defensivas fuertes. Las herramientas de seguridad de API de código abierto se elevan como defensas cruciales, permitiendo a los desarrolladores y profesionales de seguridad bloquear cualquier brecha antes de su aprovechamiento por parte del adversario. Aquí discutiremos varias de estas herramientas.
El Proyecto OWASP, conocido por sus valiosas contribuciones en software de seguridad digital, ha ofrecido al mundo el Zed Attack Proxy (ZAP). Esta herramienta multipropósito se focaliza en la detección de problemas de seguridad durante la fase de desarrollo y prueba de aplicaciones web. Dotado con habilidades como el escaneo automatizado y la autenticación de soporte, ZAP fortalece la seguridad de las APIs. Además, su API RESTful es esencial para su incorporación en los flujos de trabajo de integración continua y desarrollo continuo (CI/CD).
A pesar de no ser una herramienta de seguridad convencional, Postman ofrece un marco colaborativo para la construcción de APIs. Su capacidad para realizar solicitudes a una API y proporcionar respuestas en tiempo real, ayuda a identificar eventuales problemas de seguridad. Postman también permite la programación de pruebas de seguridad y rendimiento, asegurando que las APIs operan eficaz y seguramente.
Es una gama de herramientas especializadas, creada para diseñar, instaurar y monitorear APIs RESTful. La inclusión de una interfaz de usuario perceptible facilita que los desarrolladores y los usuarios verifiquen y analicen las APIs visualmente. Además, Swagger Inspector permite analizar las APIs para generar una documentación de OpenAPI, facilitando el descubrimiento y arreglo de fallos de seguridad en las APIs.
42Crunch destacada con su escáner de seguridad API, este facilita la detección de vulnerabilidades en las definiciones de API, como la falta de autenticación o la exposición de datos sensibles. Desde inyección SQL hasta ataques de fuerza bruta, este escáner detecta una amplia gama de posibles amenazas. Proporciona integración con las cadenas de herramientas CI/CD para permitir la mitigación oportuna de los problemas de seguridad.
En conclusión, las defensas API efectivamente bloquean las amenazas cibernéticas y mantienen las APIs seguras. Usando estas herramientas, los equipos de desarrollo y seguridad pueden resolver las vulnerabilidades de manera efectiva y así prevenir que los ciberdelincuentes exploten la infraestructura digital.
El 'Fuzzing' o 'Fuzz Testing' se muestra como una técnica astuta en el amplio panorama de la seguridad digital. Se basa en la inyección de secuencias binarias sorpresa, denominadas 'fuzz', en un ambiente de software. El mérito principal de esta estrategia radica en desentrañar anomalías o disfunciones que sean potencialmente explotables por hackers.
Profundicemos en el mecanismo del fuzzing a través de un desglose por etapas:
El protocolo del fuzzing consiste en cultivar e incorporar entradas al azar (fuzz), y observar la responsividad del software testeado. El reconocimiento de fallos o respuestas fuera de lo común puede ser una señal de vulnerabilidad.
El proceso de 'Fuzzing' se divide en cuatro etapas vitales:
Definir el blanco de exploración: En la etapa de arranque del fuzzing, se decide cuál sistema o programa será el objeto de estudio. Por ejemplo, puede ser una plataforma online, una interfaz de programación de aplicaciones (API), un sistema operativo, etc.
Fabricar los Fuzz: A continuación, se generan las entradas aleatorias o 'fuzz' que se emplearán en el procedimiento. Esto se puede lograr desde un teclado o usando aplicaciones digitalmente desarrolladas para 'fuzzing'.
Inocular el Fuzz: Una vez fabricadas las entradas, estas se inyectan en el software seleccionado. Son variadas las vías para hacer esto posible, por ejemplo, la inyección de datos, la manipulación de archivos, entre otros.
Vigilancia de las respuestas: Tras la intervención de las entradas, el reto subsiguiente es monitorear las respuestas del software. Si aparecen errores o respuestas irregulares, hay altas probabilidades de haber descubierto una brecha en la seguridad.
En términos de los instrumentos digitales para el fuzzing, sobresalen diversos recursos gratuitos que ofrecen facilidades para el proceso. Algunos de los más sobresalientes son:
AFL (American Fuzzy Lop): AFL es un instrumento para el fuzzing que se destaca por emplear técnicas genéticas para perfeccionar su funcionamiento.
Peach Fuzzer: Peach es un recurso diseñado para la personalización del fuzzing que simplifica la generación de entradas de 'fuzz' y el rastreo de la respuesta del software.
Boofuzz: Boofuzz es una versión enhancement de Sulley Fuzzing Framework que cuenta con características adicionales integradas.
Para visualizar el funcionamiento del fuzzing usando como referencia una API con Postman, una plataforma de 'fuzzing' gratuitamente accesible, el código que se presenta a continuación muestra la creación de una secuencia al azar de 10 caracteres que se incorpora a una API mediante una solicitud POST. Tras esto, se revisa lo bien que la API puede procesar los datos aleatorios. Si la API no devuelve un estado de 200, posiblemente hemos descubierto una incidencia de seguridad.
import requests
import random
import string
fuzz = ''.join(random.choices(string.ascii_uppercase + string.digits, k=10))
reserva = requests.post('https://api.example.com/data', data=fuzz)
if reserva.status_code != 200:
print('¡Posible brecha de seguridad detectada!')
En esencia, el fuzzing ha probado ser una técnica potente en pruebas de software efectivas para identificar incidencias de seguridad antes que las descubran actores malintencionados. La optimización y automatización de este procedimiento, gracias a diversas herramientas gratuitas de fuzzing, facilita el destape de vulnerabilidades, reforzando así la seguridad de los softwares.
`
`
Los Fuzzers de API son herramientas esenciales en el mundo de la seguridad cibernética. Permiten a los profesionales de la seguridad probar la robustez de las API y descubrir posibles vulnerabilidades. A continuación, se presentan algunos ejemplos de Fuzzers de API de código abierto que son ampliamente utilizados en la industria.
AFL es un fuzzer de código abierto muy popular que utiliza técnicas de mutación genética para probar las API. Este fuzzer es conocido por su capacidad para descubrir una amplia gama de vulnerabilidades, incluyendo desbordamientos de búfer, fugas de memoria y errores de lógica.
# Ejemplo de uso de AFL
$ afl-fuzz -i testcase_dir -o findings_dir /path/to/program [...params...]
Boofuzz es un fuzzer de protocolo basado en Python que es una bifurcación y mejora del famoso fuzzer Sulley. Boofuzz es especialmente útil para probar las API que utilizan protocolos de comunicación complejos.
# Ejemplo de uso de Boofuzz
from boofuzz import *
session = Session(
target=Target(
connection=SocketConnection("127.0.0.1", 12345, proto='tcp')))
s_initialize("Request")
s_string("GET", fuzzable=False)
s_delim(" ", fuzzable=False)
s_string("/index.html", fuzzable=True)
s_delim(" ", fuzzable=False)
s_string("HTTP/1.1", fuzzable=False)
s_static("\r\n\r\n")
session.connect(s_get("Request"))
session.fuzz()
Radamsa es un fuzzer de propósito general que es capaz de generar una amplia gama de entradas de prueba, lo que lo hace ideal para probar las API. Radamsa es conocido por su capacidad para generar casos de prueba únicos y efectivos.
# Ejemplo de uso de Radamsa
$ echo "GET / HTTP/1.1\r\nHost: www.example.com\r\n\r\n" | radamsa
Jazzer es un fuzzer de código abierto para Java que se integra con el marco de trabajo de fuzzing de libFuzzer. Jazzer puede ser utilizado para probar las API escritas en Java.
# Ejemplo de uso de Jazzer
$ java -jar jazzer.jar --target_class=MyApi --classpath=target/classes:target/dependency/* --jvm_args="-Xmx512m"
Estos son solo algunos ejemplos de los muchos fuzzers de API disponibles. Cada uno de estos fuzzers tiene sus propias fortalezas y debilidades, y la elección del fuzzer adecuado dependerá de las necesidades específicas de su proyecto.
La creación de una representación ficticia de una interfaz de programa de aplicación, o "API", es una etapa crítica en el proceso de elaboración de software. Esta replicación permite a los creadores de programas experimentar con los diferentes contextos en que su producto se manejará sin la necesidad de interactuar con la API real. A continuación, detallo algunos enfoques para mejorar el proceso de generación de las API ficticias:
Será de gran utilidad considerar la estructuración de la API ficticia desde la etapa inicial del desarrollo. Esto posibilita a los programadores el generar y poner en práctica la API de una manera más efectiva y con menos complicaciones. Además, hace posible identificar y manejar los escollos posibles antes de que se conviertan en obstáculos notorios.
# Ejemplo de cómo construir una representación ficticia de una API
class FakeAPI:
def __init__(self, api):
self.api = api
def replicate(self):
# Haga su lógica de réplica aquí
pass
Existen diversas utilidades gratuitas que ofrecen la opción de generar una representación ficticia de la API, disminuyendo las complicaciones del proceso. Estos recursos pueden generar distintos resultados y manejan diferentes condiciones de conectividad.
Las siguientes son algunas de las utilidades más conocidas para crear una API ficticia:
Es importante producir distintos resultados de API para confirmar que el software puede funcionar en un amplio abanico de situaciones. Esto considera resultados positivos, negativos y de latencia alta.
# Ejemplo para crear diferentes resultados de una API ficticia
class FakeAPI:
def replicate_positive(self):
# Generar una respuesta exitosa de API
pass
def replicate_negative(self):
# Generar un error de API
pass
def replicate_slow_answers(self):
# Generar una respuesta lenta de API
pass
Después de la generación de la API ficticia, es básico aplicar evaluaciones de manera metódica para verificar la reacción esperada del software en diferentes contextos. Esto involucra exámenes unitarios, de integración y de carga.
# Ejemplo de pruebas de representación ficticia de API
class FakeAPITest:
def validate_positive_answer(self):
# Verificar la respuesta exitosa de la API ficticia
pass
def validate_negative_answer(self):
# Verificar el error de la API ficticia
pass
def validate_slow_answers(self):
# Verificar la respuesta lenta de la API ficticia
pass
Es esencial mantenerla actualizada al progreso y evolución de la API real para asegurar que la representación ficticia sigue siendo un reflejo verídico de la API real.
Para concluir, la generación de representaciones ficticias de API es una etapa crítica en el proceso de elaboración de software. Siga estas recomendaciones para garantizar que las API ficticias se generen de manera efectiva y sean un activo beneficioso para su proceso de desarrollo.
Usar GoTestWAF para probar la fortaleza de la seguridad de las interfaces API es un aspecto imprescindible en el mundo de la seguridad de las API. En este segmento, abordaremos cómo usar GoTestWAF, una herramienta descargable gratuitamente, para simular y probar incursiones hostiles en las API.
Se trata de un recurso gratuito que se emplea para evaluar la solidez de un Firewall para Aplicaciones Web (WAF, por sus siglas en inglés). GoTestWAF es esencial para la realización de comprobaciones de penetración y simulacros de intrusión a las interfaces API.
Antes de iniciar cualquier simulación con GoTestWAF, hay que acondicionar la herramienta siguiendo estos pasos:
Una vez preparado GoTestWAF, puedes empezar la simulación de incursiones hostiles en la API de la siguiente manera:
-run y la simulación se pondrá en marcha.Los resultados del test te indicarán cuáles peticiones malignas fueron neutralizadas por tu WAF y cuáles lograron evadirlo. Conocer esto te dará una idea precisa del desempeño de tu WAF en cuanto a la protección de tu API.
Si notas que algunas peticiones malignas lograron evadir a tu WAF, quizás tendrías que revisar y ajustar los ajustes de tu WAF o evaluar el uso de una seguridad más resistente para tu API.
La implementación de GoTestWAF para simular incursiones hostiles en las interfaces API es una técnica formidable para evaluar el desempeño de tu WAF. No obstante, ten en cuenta que ninguna herramienta te brindará una seguridad absoluta del 100%. Siempre es esencial seguir los protocolos de seguridad óptimos para las API y mantenerse al tanto de las amenazas y vulnerabilidades más recientes.
En este capítulo, nos sumergiremos en un taller práctico que se centra en la simulación de amenazas de API utilizando herramientas de código abierto. Este taller se diseñó para proporcionar una visión detallada y práctica de cómo se pueden explotar las API y cómo podemos protegerlas utilizando herramientas de código abierto.
Antes de comenzar, es esencial tener una comprensión básica de lo que es una API y cómo funciona. Además, necesitarás tener instalado en tu sistema un conjunto de herramientas de código abierto. Algunas de las herramientas que utilizaremos incluyen:
Las API son una parte integral de cualquier aplicación moderna. Sin embargo, también son un objetivo principal para los ciberdelincuentes debido a la cantidad de datos sensibles que manejan. Algunas de las amenazas más comunes de API incluyen:
Ahora que entendemos las amenazas, podemos comenzar a simular estos ataques utilizando nuestras herramientas de código abierto. Aquí es donde Postman, OWASP ZAP y GoTestWAF entran en juego.
Postman es una herramienta poderosa que nos permite enviar solicitudes HTTP a una API y ver las respuestas. Podemos usar Postman para simular ataques de inyección SQL y CSRF. Por ejemplo, podemos enviar una solicitud POST con una consulta SQL maliciosa en el cuerpo de la solicitud y observar la respuesta de la API.
OWASP ZAP es una herramienta de pruebas de penetración que nos permite identificar vulnerabilidades en nuestras API. Podemos usar ZAP para realizar ataques de fuerza bruta en nuestras API. Por ejemplo, podemos configurar ZAP para que intente iniciar sesión en nuestra API con una lista de contraseñas comunes y observar si alguna de las contraseñas es correcta.
GoTestWAF es una herramienta de pruebas de seguridad de API que nos permite simular una variedad de ataques en nuestras API. Podemos usar GoTestWAF para simular ataques de inyección SQL, CSRF y fuerza bruta, entre otros.
Este taller nos ha proporcionado una visión práctica de cómo se pueden explotar las API y cómo podemos protegerlas utilizando herramientas de código abierto. Al entender las amenazas y cómo simularlas, estamos mejor equipados para proteger nuestras API contra ataques maliciosos.
Este artículo se adentra en el intrigante universo de la infiltración de interfaces de programación de aplicaciones (APIs) a través del uso de instrumentos open-source. Hemos explicado la esencia de una API y elaborado en cómo su perfil puede fluctuar en función del usuario. Además, hemos establecido un contraste entre la emulación de brechas de seguridad y el fuzzing, ambos métodos cruciales en la protección de APIs.
En la emulación de brechas de seguridad, se simulan los pasos de un intruso potencial para desvelar y rectificar las brechas antes de que ocurra un compromiso. En contraparte, el fuzzing es una técnica de prueba que consiste en incluir entradas aleatorias (o fuzz) en un sistema con el propósito de inducir un error y desentrañar fallos en la seguridad.
Hemos destacado una serie de instrumentos open-source de seguridad de API que capacitarán a los expertos en seguridad en la defensa de sus sistemas. Estos instrumentos, que abarcan OWASP ZAP, Postman y GoTestWAF, proporcionan una gama de funciones para la localización de brechas, pruebas de intrusión y emulación de brechas de seguridad.
Hemos profundizado en cómo implementar el fuzzing y ofrecido casos de fuzzers de API. Estos fuzzers, como AFL y Boofuzz, son útiles para evaluar la resistencia de las APIs y hallar brechas que pueden ser aprovechadas por los intrusos.
También hemos esbozado una guía a seguir para la emulación de brechas de seguridad en APIs y cómo aplicar el instrumento open-source GoTestWAF para emular brechas de seguridad. Estas directrices incluyen la necesidad de hacer pruebas de manera regular, aprovechar diversas técnicas e instrumentos, y adoptar una estrategia preventiva en la seguridad de las APIs.
Por último, hemos informado sobre un seminario en línea que se llevará a cabo proximamente, el cual se enfocará en la simulación de amenazas de API con el uso de herramientas open-source. Igualmente hemos contestado a varias de las dudas más recurrentes ligadas a la infiltración de APIs y la seguridad en las APIs.
En definitiva, la infiltración de APIs es un sector que se encuentra en constante adaptación y que requiere un entendimiento robusto de las técnicas y herramientas de seguridad disponibles. A través de la aclaración ofrecida en este artículo, confiamos que estará más capacitado para salvaguardar sus sistemas y mantenerse un paso por delante de los intrusos.
`
`
Este texto se centrará en detallar la manera de infiltrarse en un API en tan sólo 60 minutos aprovechando los recursos de diversas herramientas de código abierto.
Un API, siglas que corresponden a "Interfaz de Programación de Aplicaciones", consiste en una serie de reglamentaciones y protocolos que propician la comunicación y cooperación entre variados programas de software. Los API son órganos vitales para la correcta interacción e intercambio de información entre sistemas y aplicaciones variadas.
En la actualidad, los API son el núcleo de infinitas aplicaciones y sistemas emergentes. Si un ciberdelincuente logra acceder a un API, adquiere potencialmente el poder de alterar o sustraer información, interrumpir servicios, o en el peor de los casos, tomar el control absoluto del sistema. Es por ello que es de suma importancia comprender cómo los ciberdelincuentes pueden atentar contra los API, para estar en capacidad de protegerlos adecuadamente.
Las herramientas de código abierto son aquellas aplicaciones de software cuyo código fuente está al alcance de cualquier usuario para su análisis, personalización o distribución. Generalmente, estas herramientas son ofrecidas sin costo alguno y son mantenidas y mejoradas por voluntarios que conforman una comunidad comprometida.
Existen múltiples tácticas para resguardar tu API contra ataques de cualquier tipo. Entre estas, destacan la implementación de funciones de autenticación y autorización, la limitación de la frecuencia con que se aceptan solicitudes, la validación de datos ingresados por el usuario, cifrado de información y el monitoreo y registro constante de toda actividad.
La simulación de ataque es una metodología empleada para verificar la seguridad de un API, buscando explotar sus posibles fallos de seguridad. Por otra parte, el fuzzing es un técnica de prueba que se basa en suministrar entradas aleatorias o incorrectas a un API con el objetivo de desencadenar un fallo inesperado o comportamiento errático.
GoTestWAF es una herramienta open-source utilizada para evaluar y asegurar la seguridad de un API. Se caracteriza por su capacidad de simular una amplia gama de ataques, asistiendo en la tarea de identificar y solucionar las vulnerabilidades presentes en tu API.
Finalmente, esperamos que este compendio de preguntas frecuentes te haya clarificado el proceso de cómo infiltrarse en un API en tan solo 60 minutos con ayuda de herramientas de código abierto. En caso que tengas más preguntas, te invitamos a dejarnos tus comentarios a continuación.
Para una inmersión más detallada en los temas aquí destacados, se recomiendan los siguientes recursos:
Proyecto de Seguridad API de OWASP. Este recurso expone los desafíos de seguridad que se presentan al interactuar con las APIs y aporta medidas para atenuar estos riesgos. Aquí su enlace oficial: https://owasp.org/www-project-api-security/
OWASP ZAP (Zed Attack Proxy). Conocido como una herramienta de seguridad muy reconocida y gratuita, OWASP ZAP contribuye en el hallazgo de brechas de seguridad en aplicaciones en línea. Encuentre más detalles aquí: https://www.zaproxy.org/
Postman. Es un entorno colaborativo para la evolución del desarrollo de API. Dispone de una serie de herramientas para planificar, crear, ensayar y documentar las APIs. Encuentre más detalles aquí: https://www.postman.com/
GoTestWAF. Se caracteriza por ser una herramienta gratuita que contribuye a comprobar la eficiencia de los Firewalls de Aplicaciones Web (WAF). Encuentre más detalles aquí: https://github.com/wallarm/gotestwaf
API Security in Action. Con esta publicación, Manning Publications da una visión precisa de los aspectos a considerar de la seguridad API, con temas como el diseño de APIs seguras y cómo salvaguardar las APIs ya implementadas. Encuentre más detalles aquí: https://www.manning.com/books/api-security-in-action
API Security Checklist. Este recurso es una lista de verificación de buenas prácticas para la salvaguarda de APIs. Encuentre más detalles aquí: https://github.com/shieldfy/API-Security-Checklist
Clase de Seguridad API de OWASP. Este entrenamiento imparte enseñanzas detalladas en la seguridad de las API y proporciona ejemplos reales de cómo asegurar las APIs. Encuentre más detalles aquí: https://owasp.org/www-project-api-security/
Seminario en línea de seguridad API de Postman. En este seminario se detalla cómo emplear Postman en las pruebas de seguridad API. Encuentre más detalles aquí: https://www.postman.com/webinars/
Blog de seguridad API de OWASP. Aquí se comparten múltiples artículos centrados en la seguridad API. Encuentre más detalles aquí: https://owasp.org/www-project-api-security/
Blog de seguridad API de Postman. En este espacio se comparten artículos que muestran las prácticas de uso de Postman en las pruebas de seguridad de las API. Encuentre más detalles aquí: https://blog.postman.com/category/security/
Estos referentes les otorgan una visión profunda de la seguridad de las APIs, además de proveer diversas herramientas y recursos para su resguardo.
Parcours de développement : Passage de HTTP/1 à HTTP/2 Le Hypertext Transfer Protocol, connu sous l'abréviation…
¿Qué es un webshell? Un shell web es una herramienta de intrusión digital que concede…
¿Qué es un Reverse Shell? Un "Reverse Shell" o, como se denomina en español, "Shell…
¿Qué es un pod de Kubernetes? Kubernetes (K8s) incorpora a su estructura tecnológica un componente…
Patrones fundamentales El paradigma laboral de Kubernetes se forja a través de diversos elementos cruciales,…
Descripción de protocolos Los estándares de comunicación, comúnmente llamados protocolos, establecen las normas que controlan…