A quién agradecer
Todo lo de este hub se alimenta del trabajo de otros. Si te ha ayudado a resolver una máquina, suscríbete a sus canales y/o invítalos a un café, no a este sitio.Autoras y autores en lista blanca
S4vitar
Marcelo Vázquez. Vídeos en español, paso a paso, con explicación
didáctica del por qué de cada técnica.
El Pingüino de Mario
Vídeos en español explicando cada vector con detalle pedagógico.
0xdf
El estándar en writeups escritos en inglés. Estructura limpia,
capturas claras, comandos copiables.
IppSec
Vídeos en YouTube cubriendo prácticamente todas las máquinas
retiradas. La búsqueda en
ippsec.rocks es indispensable.Cómo proponer un nuevo autor
Editascripts/config.py, añade la entrada al diccionario AUTHORS
con sus dominios, y abre un PR explicando por qué su material es
consistente en calidad. Sin “lista de Medium random”, por favor.
Fuentes que han nutrido el contenido profesional
Las secciones Metodología, Glosario, AD CS, Cloud, LLM Security, Red Team y Bug Bounty se construyeron a partir de research de las siguientes fuentes (citadas inline donde corresponda):PortSwigger Research
James Kettle: Smashing the state machine (race conditions),
HTTP/2 The Sequel is Always Worse, Web Security Academy.
SpecterOps
Will Schroeder, Lee Christensen — Certified Pre-Owned (AD CS),
BloodHound, Certify, Mythic, Empire.
Microsoft Threat Intelligence
Storm-2372 device code phishing, EchoLeak (CVE-2025-32711),
Defender for Identity AD CS sensor.
MITRE ATT&CK
Framework de tácticas y técnicas. Mapeo obligatorio en informes
profesionales 2026.
OWASP
Top 10 web, Top 10 API, Top 10 LLM 2025, Cheat Sheet Series,
ASVS, Testing Guide.
HackTricks
Wiki de pentesting comunitaria. Búsqueda obligatoria antes de
cada técnica AD/Linux/Cloud.
Mandiant / Google Threat Intel
M-Trends 2025, casos UNC2165 / RansomHub, defensa AD CS.
Rhino Security Labs
Pacu, AWS IAM Privilege Escalation paths, GCPBucketBrute,
GCP IAM PrivEsc.
ProjectDiscovery
subfinder, httpx, nuclei, dnsx — stack de facto en bug bounty 2026.
OffSec / Hack The Box
PEN-200, OSCP+ 2024, HTB Academy, máquinas retiradas. Sin
afiliación.
TrustedSec / harmj0y / ly4k
Certipy, Certify, EKUwu (CVE-2024-49019), AD CS research
continuo.
OWASP Gen AI Project
Top 10 for LLM Applications 2025 — base de la sección de
LLM Security.
Otros autores que merecen citarse
- Dirk-jan Mollema (dirkjanm.io) — ROADtools, mitm6, Pass-the-PRT, NTLM Relay + delegation research.
- Oliver Lyak (ly4k) — Certipy original, CVE-2022-26923 Certifried.
- Justin Bollinger (TrustedSec) — EKUwu (CVE-2024-49019).
- mr.d0x — Browser-in-the-Browser attack disclosure.
- Florian Roth (Neo23x0) — YARA signature-base, DFIR research.
- chvancooten — NimPlant.
- C5pider — Havoc framework.
- kgretzky — Evilginx2.
- Aim Labs (Aim Security) — EchoLeak disclosure.