Artículos sobre seguridad ofensiva, bug bounty y lo que he ido aprendiendo por el camino.
CVE-2026-44982 fue un bypass de WAF de una sola cabecera en el componente AppSec de CrowdSec. Mismo payload, Content-Length bloqueado, Transfer-Encoding: chunked colado al backend. La raíz era una línea en pkg/appsec/request.go. La misma forma se publicó en un bouncer oficial de CrowdSec y en la principal integración de Traefik de terceros, y se abordó en releases posteriores sin asignación de CVE.
Leer más →
CVE-2026-39534 fue un dispatcher con MVC propio en WP Directory Kit que cogía un nombre de método de la petición y lo llamaba. Sin autenticación, sin nonce, sin allowlist de modelos. Mandas un nombre de modelo, te devuelven las filas. Cómo el patrón dispatcher esconde esta clase de bug y una lista para encontrarlo en cualquier plugin que monte su propio MVC.
Leer más →
CVE-2026-39511 fue una inyección SQL no autenticada en el plugin WP Photo Album Plus. La query pasaba por wpdb::prepare() bien y justo después por stripslashes(), borrando los mismos escapados que prepare() acababa de añadir. Cómo funciona el anti-patrón, el payload explotable y una lista para buscar la misma forma en el código de tus plugins.
Leer más →
El bundle JavaScript te dio la idea que tiene el frontend de la API. Los seis pasos de abajo te dan la realidad del backend. Sondeo de versiones, enumeración de métodos, descubrimiento de parámetros, comprobaciones de autorización, señal en la respuesta.
Leer más →
Abrir por primera vez el JavaScript empaquetado de un desconocido. Qué busco con grep, en qué orden y por qué. Una continuación práctica a por qué no hay que saltarse los archivos JS.
Leer más →
CVE-2025-4392 fue un XSS almacenado no autenticado en el plugin Shared Files. Un sanitizador que solo se ejecutaba para SVG y pasaba todo lo demás tal cual. Por qué el nombre de la función mentía y una lista para buscar el mismo patrón en el código de tus plugins.
Leer más →
Un recorrido por CVE-2025-3769, un IDOR en el plugin LatePoint que exponía datos de clientes en unos 100.000 sitios WordPress. Cómo lo encontré, el patrón de revisión de código detrás y una lista para auditar plugins de WordPress por tu cuenta.
Leer más →
CRTO es de las pocas certificaciones que realmente comprueban si sabes operar en un entorno AD. Mi opinión y algunos consejos para prepararlo.
Leer más →
Los atacantes no siguen tu alcance. Los programas de bug bounty limitados te protegen de hallazgos mientras dejan tu superficie de ataque real expuesta. Por qué los alcances amplios y el reconocimiento importan.
Leer más →
Las mejores vulnerabilidades no están en el dominio principal. Por qué los alcances wildcard superan a los limitados y cómo ir a lo ancho lleva a los hallazgos que realmente importan.
Leer más →
Lanzar escaneos automatizados e ignorar los archivos JavaScript significa perderse lo realmente valioso. Así es como leer archivos JS me llevó a acceso total de administrador en un objetivo de HackerOne.
Leer más →
Ambas líneas fueron escritas para proteger. Una añadió protección, la otra la eliminó. Cómo $wpdb->prepare() y stripslashes() se combinaron en una inyección SQL crítica.
Leer más →
La experiencia técnica importa, pero si quieres que tus hallazgos se arreglen, necesitas hablar el idioma de tu público. Así es como traducir problemas de seguridad en decisiones de negocio.
Leer más →
Cómo un cambio de DNS bien cronometrado puede evadir filtros SSRF y convertir una vulnerabilidad bloqueada en acceso completo a la red interna.
Leer más →
Cuando salen CVEs críticos, les siguen escáneres maliciosos. Por qué deberías revisar el código antes de ejecutar cualquier herramienta de seguridad de GitHub.
Leer más →
A veces basta con cambiar una letra a mayúscula en una ruta URL para saltarse un error 401/403. Te cuento por qué funciona este caso extremo y cuándo merece la pena probarlo.
Leer más →
Un endpoint de desarrollo que no debería existir condujo a una ejecución remota de código completa. Así es como pensar en el impacto convirtió un hallazgo en una cadena crítica.
Leer más →
Un solo carácter en un parámetro de URL expuso credenciales completas de base de datos y se convirtió en un doble hallazgo crítico de 2.000 $. Esto es lo que pasó.
Leer más →
El bug bounty puede desgastarte si lo enfocas mal. Después de 8 años y más de 1.000 vulnerabilidades, esto es lo que de verdad importa para no quemarte.
Leer más →