Translated ['src/pentesting-web/rsql-injection.md'] to es

This commit is contained in:
Translator 2025-04-15 00:02:45 +00:00
parent f0174c67dc
commit e511ec8f47

View File

@ -17,7 +17,7 @@ RSQL te permite construir consultas avanzadas en APIs RESTful, por ejemplo:
```bash
/products?filter=price>100;category==electronics
```
Esto se traduce en una consulta estructurada que filtra productos con un precio mayor a 100 y categoría "electrónica".
Esto se traduce a una consulta estructurada que filtra productos con un precio mayor a 100 y categoría "electrónica".
Si la aplicación no valida correctamente la entrada del usuario, un atacante podría manipular el filtro para ejecutar consultas inesperadas, tales como:
```bash
@ -125,7 +125,7 @@ Content-Length: 85
}]
}
```
Aunque se espera un `/api/registrations?email=<emailAccount>`, es posible utilizar filtros RSQL para intentar enumerar y/o extraer información de usuarios a través del uso de operadores especiales:
Aunque se espera un `/api/registrations?email=<emailAccount>`, es posible utilizar filtros RSQL para intentar enumerar y/o extraer información de usuarios mediante el uso de operadores especiales:
### Request
```
GET /api/registrations?filter[userAccounts]=email=='test@test.com' HTTP/1.1
@ -348,7 +348,7 @@ Access-Control-Allow-Origin: *
"data": []
}
```
Usando ciertos operadores, podríamos enumerar usuarios administradores:
Usando ciertos operadores podríamos enumerar usuarios administradores:
### Request
```
GET /api/companyUsers?include=role&filter[companyUsers]=user.id=='94****************************' HTTP/1.1
@ -459,7 +459,7 @@ Access-Control-Allow-Origin: *
}, {
.......
```
## Suplantación o Referencias Directas a Objetos Inseguras (IDOR)
## Suplantar o Referencias Directas a Objetos Inseguros (IDOR)
Además del uso del parámetro `filter`, es posible utilizar otros parámetros como `include` que permite incluir en el resultado ciertos parámetros (por ejemplo, idioma, país, contraseña...).
En el siguiente ejemplo, se muestra la información de nuestro perfil de usuario: