Blog

Write-up técnico del HTB Skills Assessment “API Attack”: enumeración de endpoints, abuso de autenticación/autorización y encadenado de fallos típicos en APIs hasta obtener impacto verificable y evidencias reproducibles.

BOLA (API1:2023) ocurre cuando una API no verifica permisos por objeto y basta cambiar un ID en la ruta o el body para acceder o modificar recursos de otros usuarios. En este post verás cómo identificarlo, explotarlo de forma controlada ...

CGI expone un patrón peligroso: entrada HTTP que termina en RCE desde HTTP.

En este write-up de HTB Academy muestro un flujo completo contra Joomla: identificación del CMS, enumeración de artefactos típicos, uso de herramientas como Droopescan, fuerza bruta controlada del panel /administrator/ y, tras el acceso,...

Pentest sobre una academia (anonimizada): compromiso inicial a través de WordPress, evidencia de ejecución en el host y prueba de impacto con escalada local a root.