DEV Community: Al Fondo Del Ciber

Cómo detectar usuarios existentes en un sistema con un ataque de fuerza bruta inteligente ⚠️🔐

Al Fondo Del Ciber — Mon, 30 Jun 2025 12:01:00 +0000

Cómo detectar usuarios existentes en un sistema con un ataque de fuerza bruta inteligente ⚠️🔐

En muchos sistemas web, el proceso de autenticación puede tener vulnerabilidades sutiles que permiten a un atacante saber si un usuario existe o no, simplemente analizando los mensajes de error que devuelve el servidor. Esta información, aunque parezca trivial, puede facilitar ataques de fuerza bruta mucho más efectivos y peligrosos.

¿Qué sucede realmente?

Cuando intentamos iniciar sesión con credenciales erróneas, el servidor responde con un mensaje genérico que indica que el usuario o la contraseña no son válidos. Sin embargo, si el sistema no maneja correctamente estos mensajes, puede devolver pistas diferentes cuando el usuario no existe frente a cuando la contraseña es incorrecta.

Este pequeño fallo es clave: al distinguir estas respuestas, un atacante puede comprobar rápidamente qué usuarios existen en la base de datos sin necesidad de adivinar contraseñas.

Herramientas y técnica para detectar usuarios existentes

Para explotar esta vulnerabilidad usamos un proxy interceptador, como el que ofrece BurpSuite, que permite capturar y modificar peticiones web en tiempo real.

El proceso es:

Activar el proxy interceptador.
Realizar un intento de inicio de sesión con datos cualquiera (por ejemplo, usuario “complementes” y contraseña “test”).
Capturar la petición y enviarla a una herramienta de ataque, en este caso el módulo “intruder” de BurpSuite.
En el intruder, seleccionar el parámetro username para reemplazarlo por una lista de usuarios potenciales.
Iniciar el ataque de fuerza bruta con esta lista para comprobar qué usuarios existen.
Analizar las respuestas con un filtro “grep match” para detectar diferencias en los mensajes de error.

Análisis de respuestas y detección

El filtro busca la expresión "invalid username or password" en la respuesta. Si esta aparece exactamente igual en todas, no hay problema. Pero si alguna respuesta se diferencia aunque sea mínimamente —por ejemplo, un signo de puntuación que falta—, el servidor podría estar tratando de ocultar la diferencia, pero nos da una pista valiosa.

En este caso, la ausencia de un punto en el mensaje de error para un usuario concreto indica que ese usuario sí existe en la plataforma. Así, sin conocer la contraseña, sabemos con certeza que el usuario está registrado.

Conclusión

Este tipo de vulnerabilidad, conocida como enumeración de usuarios por mensajes de error, es muy común y peligrosa. Permite que un atacante optimice sus ataques de fuerza bruta o ingeniería social.

Por ello, es fundamental que los desarrolladores implementen mensajes de error uniformes, genéricos y que no revelen ninguna pista sobre la existencia o no de un usuario.

🚨 La seguridad no está solo en proteger contraseñas, sino también en no dar pistas innecesarias a posibles atacantes.

TikTok: https://www.tiktok.com/@alfondodelciber/video/7519933408512871702
YouTube Shorts: https://youtube.com/shorts/tDJzlBVeu9M

AlFondoDelCiber #SeguridadWeb #FuerzaBruta #Ciberseguridad

Inyección de JavaScript a través de una búsqueda mal validada 🧠💻⚠️

Al Fondo Del Ciber — Wed, 25 Jun 2025 18:14:59 +0000

Inyección de JavaScript a través de una búsqueda mal validada 🧠💻⚠️

Una de las formas más simples —y peligrosas— de encontrar vulnerabilidades XSS es observar cómo se comporta una página al mostrar resultados de búsqueda.

En este caso, nos encontramos con una aplicación que incrusta directamente el valor de búsqueda dentro de una variable JavaScript. Eso por sí solo ya es una bandera roja 🚩.

Paso 1: Verificar cómo se refleja el input

Hacemos una búsqueda sencilla, por ejemplo hola, y observamos el código fuente. Lo encontramos tanto en el contenido de la página como dentro de un bloque <script>, asignado a una variable JavaScript. Algo así como:

var search = 'hola';
document.createElement("img").src = "/search/" + search;

Aquí es donde empieza el problema.

Paso 2: ¿Podemos romper esa variable?
La idea es simple: si no se ha escapado correctamente el contenido que introducimos, podríamos cerrar la cadena de la variable y escribir nuestro propio código JavaScript.

Intentamos inyectar:

';alert(1);//

Pero falla. ¿Por qué?

Paso 3: Diagnóstico en consola
Al abrir la consola del navegador, vemos que hay un error de sintaxis. Eso significa que hemos salido correctamente de la variable, pero algo está mal formado.

Y efectivamente: hay una comilla colgando al final del script original, porque el input que metimos no cerró bien el bloque.

Paso 4: Solucionar la sintaxis
Entonces la solución es cerrar la comilla abierta y añadir algo que equilibre el código JavaScript.

Por ejemplo, esta carga funciona perfectamente:

';alert(1);const a='

Este código:

Cierra la comilla de la variable.

Ejecuta alert(1);

Y define una constante a que utiliza la comilla final que el script original estaba esperando.

✅ ¡Inyección de JavaScript conseguida!

Conclusión
Cuando una aplicación refleja valores de entrada dentro de scripts sin escaparlos correctamente, abre la puerta a vulnerabilidades XSS basadas en JavaScript embebido.

Este caso demuestra lo fácil que puede ser romper el contexto del script e insertar código malicioso.

🔒 La validación y el escape de caracteres en contextos de JavaScript es esencial. No solo se trata de proteger el HTML.

AlFondoDelCiber #XSS #JavaScript #Ciberseguridad

🎥 TikTok: https://www.tiktok.com/@alfondodelciber/video/7497239841000787222

How to test your startup idea before developing it

Al Fondo Del Ciber — Sun, 17 Nov 2024 17:22:24 +0000

We’ve all been there, you have a startup idea but are not sure if you should make it, because you don’t know how many people are interested in your idea?

Then you ask yourself the question of “Should I spend my time building this even tho I don’t know how people will react to it?”.

I am going to show you how to showcase your idea to the internet very quickly, to get feedback ASAP.

Creating a landing page

First, what you need the most is a landing page with a waiting list. I strongly recommend using Bolt or if you aren’t technical, using Hostinger.

The advantage of Bolt is, it’s free and after downloading your code you can deploy it anywhere. My most preferred choice is Cloudflare pages because of the clean looking *.pages.dev domain. You will be amazed with how Bolt is ready to make a clean looking website in just seconds, and tweaking it should only take some minutes.

Add a waitlist

After that, we need to connect the landing page to a waitlist, in this case we will be using Waitlist

Creating a wishlist is done in seconds, and interacting with its API doesn’t even need an API key, just send a request with the email and waitlist ID, and everything should work. To look further into the API, you can read their documentation: Waitlist Documentation .

const response = await fetch('https://api.getwaitlist.com/api/v1/signup', { method: 'POST', headers: { 'Content-Type': 'application/json', }, body: JSON.stringify({ email:email, waitlist_id:waitlist_id }), });
Voilà!
Now you have a product landing page with an integrated waitlist. You just have to send the link to lots of forums, Discord servers, real life people, and see if people join your waitlist!

Greatly improve your Health Endpoint with these tips!

Al Fondo Del Ciber — Wed, 06 Nov 2024 21:03:53 +0000

Every API should have a /health endpoint, to make sure their app is ready and running without any problems.

Normally /health endpoints only answer with a STATUS_200, but that does not give us that much info as we can think it does.

Here are the main reasons why:

Your API may not be crashing but could be having very slow downtimes
This approach doesn’t let you check on other services you may use like: Third Party API’s, remote databases, your frontend.
So to fix this, I am going to give you some ideas on what your /health endpoint responses should look like!

Here is a coded example
As you can see, this is for Django but it can be applied for any API.

res = {
        "database":’unknown’,
        "stripe":’unknown’,
        ‘server’:’unknown’,
    }
    try:
        #* check database connection 
        start = time.time()
        users = User.objects.all()
        products = Product.objects.all()
        user = User.objects.filter(email=os.getenv(‘EMAIL_HOST_USER’))
        product = Product.objects.filter(id=1)

        # do some "modification" to the database queries, to force django to query them
        str(users)
        str(products)
        str(user)
        str(product)
        res[‘database’] = f"{round((time.time() - start) * 1000, 5)} ms to make 4 queries."


        #* check stripe connection 
        start = time.time()
        stripe.Customer.list(limit=20)
        res['stripe'] = f"{round((time.time() - start) * 1000, 5)} ms to query 20 rows."


        #* check server usage
        load = psutil.cpu_percent(interval=1)
        memory = psutil.virtual_memory().percent
        res['server']  = f"{load}% CPU Usage, {memory}% Memory Usage"


    except Exception as e:
        #* define other services as ready, find the one that caused the error, and leave the others as unknown
        for key in res.keys():
            if res[key] == None:
                res[key] = f"Error: {e}"
                break
    return Response(res, status=200)

In this case, I am checking if my connections to my database and the Stripe API are working and have a low latency. I am also seeing how my server’s resources are working, and if they are too overloaded.

This endpoint of course is protected by authentication, only staff users can access it.

You can apply this example for all the services you may use! If you have any more ideas on what metrics to measure, don’t hesitate to leave them in the comments.

❤️ Thank you for reading this article and please share it if you found it helpful!

Programmatically monitor your API from your iPhone

Al Fondo Del Ciber — Wed, 06 Nov 2024 21:02:21 +0000

Everybody knows that having an active API is a very stressing process! You can always be anxious about your API suddenly breaking, and not knowing about it when it happens.

This is why setting up an automated health check on your iPhone, which notifies you when your API breaks can be so helpful.

I have made this iOS Shortcut which you can copy to your iPhone with this link

This shortcut simply sends an HTTP request to your health endpoint and notifies you if the response is different than the expected one.

After setting up the shortcut and testing it to see if it works with your API, you can now with Apple Shortcut Automations, set it up to execute every half hour, hour, day, etc…

❤️ Thank you for reading this article, please share it if you found it helpful 😁

Save 50% of your Django development time with this tool

Al Fondo Del Ciber — Wed, 06 Nov 2024 21:00:48 +0000

Starting a Django project can be the most exciting but also tiring thing to do. This is because everything is always the same thing. Setting up the database, creating a custom user model and authentication management.

Always copying and pasting old code from other projects 😮‍💨. That becomes very boring and actually time consuming.

This was until the creation of the site DjangoQuickie . Thanks to this website you can quickly boot up a project by choosing the tech stack you will be using.

The form presents choices like:

Database management system (PostgreSQL, MySQL, SQLite3, etc…)
JWT Authentication
Google Social OAuth2
Logging
Stripe Payment System
Advanced health endpoint system
User notification system

In exchange you will get a boilerplate Django project and a .env file to be placed in the root of the folder with the information you provided.

Thanks to this boilerplate code, you will be able to skip the initial repetitive process and get on directly with the code you were excited to write and create.

All this while saving half of your development time.

❤️ Thanks for reading this article, please share it with others if you found it helpful.