From e511ec8f4703cc28d9a37146b7117a0ebb69efaf Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 15 Apr 2025 00:02:45 +0000 Subject: [PATCH] Translated ['src/pentesting-web/rsql-injection.md'] to es --- src/pentesting-web/rsql-injection.md | 8 ++++---- 1 file changed, 4 insertions(+), 4 deletions(-) diff --git a/src/pentesting-web/rsql-injection.md b/src/pentesting-web/rsql-injection.md index 4dc78bd81..6aa188696 100644 --- a/src/pentesting-web/rsql-injection.md +++ b/src/pentesting-web/rsql-injection.md @@ -17,7 +17,7 @@ RSQL te permite construir consultas avanzadas en APIs RESTful, por ejemplo: ```bash /products?filter=price>100;category==electronics ``` -Esto se traduce en una consulta estructurada que filtra productos con un precio mayor a 100 y categoría "electrónica". +Esto se traduce a una consulta estructurada que filtra productos con un precio mayor a 100 y categoría "electrónica". Si la aplicación no valida correctamente la entrada del usuario, un atacante podría manipular el filtro para ejecutar consultas inesperadas, tales como: ```bash @@ -125,7 +125,7 @@ Content-Length: 85 }] } ``` -Aunque se espera un `/api/registrations?email=`, es posible utilizar filtros RSQL para intentar enumerar y/o extraer información de usuarios a través del uso de operadores especiales: +Aunque se espera un `/api/registrations?email=`, es posible utilizar filtros RSQL para intentar enumerar y/o extraer información de usuarios mediante el uso de operadores especiales: ### Request ``` GET /api/registrations?filter[userAccounts]=email=='test@test.com' HTTP/1.1 @@ -348,7 +348,7 @@ Access-Control-Allow-Origin: * "data": [] } ``` -Usando ciertos operadores, podríamos enumerar usuarios administradores: +Usando ciertos operadores podríamos enumerar usuarios administradores: ### Request ``` GET /api/companyUsers?include=role&filter[companyUsers]=user.id=='94****************************' HTTP/1.1 @@ -459,7 +459,7 @@ Access-Control-Allow-Origin: * }, { ....... ``` -## Suplantación o Referencias Directas a Objetos Inseguras (IDOR) +## Suplantar o Referencias Directas a Objetos Inseguros (IDOR) Además del uso del parámetro `filter`, es posible utilizar otros parámetros como `include` que permite incluir en el resultado ciertos parámetros (por ejemplo, idioma, país, contraseña...). En el siguiente ejemplo, se muestra la información de nuestro perfil de usuario: