OWASP Top: Las 5 Vulnerabilidades Que Rompen Tu App

En 2015 un adolescente usó una SQL Injection para llevarse los datos de casi 157.000 clientes de TalkTalk. No fue magia: fue un error de programación documentado hace 20 años en el OWASP Top 10. Y seguimos cometiéndolo. En este video desarmo las 5 vulnerabilidades web que más rompen apps en producción: SQL Injection, XSS (Cross-Site Scripting), CSRF, IDOR (control de acceso roto) y Broken Authentication. Y lo hago distinto: para cada una recorremos DOS flujos en paralelo. El flujo del ataque paso a paso —desde que el atacante toca la pantalla, la petición viaja al servidor, el código la procesa y la base o el navegador responden— y el flujo seguro, el mismo recorrido pero blindado, viendo el punto exacto donde el ataque choca contra una pared. Para cada una verás: la analogía que la hace obvia, el código que la causa y el código que la blinda (en JavaScript, Python, Java y PHP), las herramientas reales que la mayoría de devs usa para defenderse (ORMs como Prisma y SQLAlchemy, frameworks que escapan solos como React, librerías de auth como Passport y Spring Security), y dónde vivió cada una en un hackeo real. Casos reales cubiertos: TalkTalk (SQLi), el gusano Samy en MySpace (XSS almacenado, +1M de perfiles en horas), LinkedIn (contraseñas SHA-1 sin salt, 117M de cuentas) y Equifax (componente sin parchear, ~143M de personas). Al final, una nota honesta sobre por qué la IA escribe código vulnerable por default y cómo cambiar eso. ⚠️ Disclaimer: las demos son educativas y en entorno controlado. Nunca pruebes esto en sistemas que no son tuyos: es delito. 00:00 Intro 00:45 SQL Injection 05:45 XSS (Cross-Site Scripting) 09:45 CSRF 12:45 IDOR / control de acceso roto 15:45 Broken Authentication 20:15 Ejemplos del mundo real 21:45 Cierre 🔗 Más Torticode →    / @torticode   🔗 Tipos de Testing (ya en el canal) →    / @torticode   #seguridad #owasp #ciberseguridad