🛡️ OWASP Top 10

Blue Team Labs

Entrena en los 13 laboratorios más críticos de seguridad web. Aprende a identificar, explotar y mitigar vulnerabilidades reales basadas en el OWASP Top 10, JWT attacks, NoSQL injection y más.

25 Vulnerability Labs

OWASP Top 10

Real-World Scenarios

SQL Injection

Aprende a detectar y explotar inyecciones SQL en aplicaciones web

CVSS 9.8Medium

Injection

Cross-Site Scripting (XSS)

Domina técnicas de XSS reflejado, almacenado y basado en DOM

CVSS 7.1Easy

Injection

Broken Authentication

Explota vulnerabilidades en sistemas de autenticación y sesiones

CVSS 9.1Medium

Authentication

Sensitive Data Exposure

Identifica y explota exposición de datos sensibles

CVSS 7.5Easy

Data Protection

Broken Access Control

Bypass de controles de acceso y escalación de privilegios

CVSS 8.8Medium

Authorization

Security Misconfiguration

Explota configuraciones inseguras en servidores y aplicaciones

CVSS 7.5Easy

Configuration

XML External Entities (XXE)

Ataca parsers XML vulnerables para acceder a archivos internos

CVSS 8.2Medium

Injection

Command Injection

Ejecuta comandos del sistema a través de inyección de comandos

CVSS 9.8Hard

Injection

LDAP Injection

Manipula consultas LDAP para acceso no autorizado

CVSS 8.1Medium

Injection

Server-Side Template Injection

Explota motores de plantillas para ejecución remota de código

CVSS 9.0Hard

Injection

Session Fixation

Fija sesiones de usuario para secuestro de cuentas

CVSS 7.5Medium

Authentication

Content Security Policy Bypass

Bypass de políticas de seguridad de contenido

CVSS 6.5Hard

Configuration

Unrestricted File Upload

Explota cargas de archivos sin restricciones para RCE

CVSS 8.8Medium

Validation

Server-Side Request Forgery (SSRF)

Fuerza al servidor a realizar peticiones internas a servicios no expuestos, incluyendo metadatos de cloud

CVSS 9.8Hard

Request Forgery

Path Traversal

Lee archivos arbitrarios del servidor usando secuencias ../ que escapan del directorio base

CVSS 9.1Medium

Access Control

Open Redirect

Redirige usuarios a dominios maliciosos usando el dominio legítimo como relay para phishing

CVSS 6.1Easy

Validation

JWT Attacks

Explota tokens JWT con alg:none, secretos débiles y confusión de algoritmos RS256→HS256

CVSS 9.1Medium

Authentication

NoSQL Injection

Inyecta operadores MongoDB ($ne, $gt, $regex) para bypassear autenticación y volcar datos

CVSS 9.8Medium

Injection

Insecure Deserialization

Manipula objetos serializados con firma débil y contamina Object.prototype via prototype pollution

CVSS 9.8Hard

Injection

CORS Misconfiguration

Cuatro variantes: wildcard, reflejo de origen, null origin trust y regex bypasseable con subdomain spoofing

CVSS 8.1Medium

Configuration

Clickjacking

Iframe transparente sobre botones legítimos intercepta clics. Demuestra X-Frame-Options y CSP frame-ancestors

CVSS 6.5Easy

UI Security

CRLF Injection

CR+LF (%0d%0a) en cabeceras HTTP para inyectar cookies, eliminar protecciones y hacer log poisoning

CVSS 7.2Medium

Injection

GraphQL Attacks

Introspeción, IDOR, acceso sin autorización, escalada de privilegios, batching DoS en APIs GraphQL

CVSS 9.1Hard

Injection

Race Condition

TOCTOU en canje de cupones y transferencias — ventana de 50ms permite doble gasto concurrente

CVSS 8.1Hard

Logic

Business Logic Flaws

Precio negativo, cantidad cero, coupon stacking y bypass del flujo de pago en e-commerce

CVSS 8.6Medium

Logic