# Web

Auditorias a entornos web

### Metodología

Se recomienda seguir usando [cherrytree](https://www.giuspen.com/cherrytree/) para ir guardando las evidencias.

1. <a style="color:#000;text-decoration:none;cursor:pointer" href="#intro_web">Introducción</a>
  * Breve introducción informal al modelo cliente-servidor
  * URI y URL
  * Breve introducción informal sobre las URL
  * Carácteres reservados y url encoding (percent encoding)
  * Burp decoder
  * Breve introducción informal unicode y su codificación en las URLs
  * Breve introducción informal a Internationalized Resource Identifiers (IRI)
  * Breve introducción informal a Internationalized Domain Names (IDN) y el sistema punycode
<br><br>
2. <a style="color:#000;text-decoration:none;cursor:pointer" href="#http">Breve introducción informal al protocolo HTTP</a>
  * Utilizando telnet para realizar peticiones HTTP
  * Utilizando openssl para realizar peticiones HTTPS
  * Utilizando cURL para realizar peticiones HTTP o HTTPS
<br><br>
3. <a style="color:#000;text-decoration:none;cursor:pointer" href="#frontend">Frontend - El lado del cliente</a>
  * Breve introducción informal a HTML
  * Breve introducción informal a la estructura de un documento HTML
  * Breve introducción informal a CSS
  * Breve introducción informal a ECMAScript (JavaScript)
  * Creando el frontend de una shell muy sencilla
<br><br>
4. <a style="color:#000;text-decoration:none;cursor:pointer" href="#backend">Backend - El lado del servidor</a>
  * Breve introducción práctica a PHP
  * Otros lenguajes del lado del servidor
  * Frameworks conocidos
<br><br>
5. <a style="color:#000;text-decoration:none;cursor:pointer" href="#guides">Guias para auditar applicaciones web</a>
  * OWASP Testing Guide
  * Guía informal casera
<br><br>
6. <a style="color:#000;text-decoration:none;cursor:pointer" href="#stego">Ataques conocidos a aplicaciones y servidores web</a>
  * HTML Injection
    * Usando html injection para realizar un defacing
  * Cross Site Scripting (XSS)
    * Reflejado (Reflected)
    * Almacenado (Stored)
    * Aprovechando un XSS para robar una sessión (session hijacking)
    * Aprovechando un XSS para almacenar un keylogger y registrar las teclas que pulsa el usuario
  * Cross Site Request Forgery (CSRF)
  * Command injection
<br><br>

### Referencias usadas

1. Páginas web
  * [OWASP Testing Guide](https://www.owasp.org/index.php/OWASP_Testing_Project)
  * [Homograph attack - Krebonsecurity](https://krebsonsecurity.com/2018/03/look-alike-domains-and-visual-confusion/)
  * [MDN - Generalidades del protocolo HTTP](https://developer.mozilla.org/es/docs/Web/HTTP/Overview)
  * [RFC 3987 - Internationalized Resource Identifiers (IRIs)](https://tools.ietf.org/html/rfc3987)
  * [RFC 3986 - Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986)
  * [RFC 3492 - Punycode: A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA)](https://tools.ietf.org/html/rfc3492)
2. Libros
  * [Tangled Web - A Guide to Securing Modern Web Applications](https://nostarch.com/tangledweb)

<a name="client_server"></a>

#### Breve introducción informal al modelo cliente-servidor

La mayoría de servicios en internet funcionan de acuerdo al modelo [cliente-servidor](https://es.wikipedia.org/wiki/Cliente-servidor). Este modelo lo forman 2 componentes principales:

  * cliente (demanda y consume servicios)
  * servidor (da servicio a los clientes)

Para extrapolarlo a la vida real, pensemos en una cafetería. En la cafetería el camarero sería el servidor y una persona que entre a tomar un café sería el cliente. La persona pide un café al camarero y el camarero se lo sirve. Si hay muchas personas por cada camarero, probablemente sintamos que se degrada el servicio. Y si hay muchos camareros y pocos clientes, probablemente el servicio no sea rentable. Hay servicios más complicados. Por ejemplo, veamos ahora un bar de copas. En el bar de copas la persona solicita un bebida alcohólica y el camarero antes de servirla tiene que asegurarse que la persona tiene la edad legal para consumirla verificando su documento de identidad. Hemos puesto de ejemplo un bar, pero existen muchos tipos de servicios, por ejemplo, correos es un servicio en el que una persona (cliente) puede escribir una carta y solicitar que se envié certificada al servicio de correos. Telepizza es otro servicio a donde una persona (cliente) puede pedir una pizza para que [Telepizza](https://es.wikipedia.org/wiki/Telepizza) (servicio) se la lleve a casa.

En internet, funcionan las cosas del mismo modo, sólo que los servicios que solicitamos son muchas veces diferentes a los que usamos en la vida real. Por ejemplo, en internet, la persona solicita enviar un correo electrónico o ver una página web. Este tema se va a centrar en servicios web. En los servicios web se usa el protocolo [HTTP](https://es.wikipedia.org/wiki/Protocolo_de_transferencia_de_hipertexto) para pedir recursos a los servidores.

#### URI y URL

Aunque muchas veces los términos URI y URL se utilizan en el mismo contexto,, en el [RFC 3896](https://tools.ietf.org/html/rfc3986#section-1.1.3) se aclaran las diferencias entre ambos términos:

<img src="img/uri_vs_url.png" style="float:left">
<div style="clear:both"></div><br>

Y aunque a nivel práctico, en mi opinión, no tiene mucha importancia si los intercambiamos con el fin que el mensaje se entienda mejor, vamos a hacer una introducción informal a ambos términos. Una [URI](https://es.wikipedia.org/wiki/Identificador_de_recursos_uniforme) (Uniform Resource Identifier) es una cadena de carácteres que identifica un recurso de la red de forma unívoca. Vamos a ver algunos ejemplos. La siguiente URI:

/mirincondepensar.html

identifica unívocamente el recurso (página web) al que quiero acceder. En este caso quiero acceder a la página *mirincondepensar.html* que se encuentra en el directorio principal del servidor donde estoy. Otro ejemplo de URI es:

http://filosofia.es/rincondepensar.html

Este ejemplo, aparte de ser URI, es también una URL, porque aparte de indicar el recurso al que quiero acceder, me indica donde localizarlo. En este caso el recurso que busco esta en el dominio, filosofia.es, y debo acceder a él usando el protocolo http. Es decir, las [URL](https://es.wikipedia.org/wiki/Localizador_de_recursos_uniforme) son un subconjunto de las URI que me indican como localizar el recurso. Con la información que nos aportan las URL podemos saber si *rincondepensar.html* es el que estoy buscando ya que, por ejemplo, podríamos un recurso con el mismo nombre en un host:

http://filosofia.es/rincondepensar.html

y otro con el mismo nombre en otro:

http://matematicas.es/rincondepensar.html

Si sólo nos indican la URI */rincondepensar.html* tenemos que saber el host en donde estamos. Si la URI es una URL, sabremos donde localizar el recurso. Toda URL es una URI pero no toda URI es una URL.

#### Breve introducción informal sobre las URL

Son las direcciones que tecleamos en el navegador de internet para acceder a una web como https://pastebin.com/ o descargar un archivo. Las [URL](https://es.wikipedia.org/wiki/Localizador_de_recursos_uniforme) (Uniform Resource Locator) es el lugar a donde se piden las cosas en el mundo web. Es la interfaz de usuario más importante que tiene el navegador y uno de los primeros indicadores de seguridad que podemos verificar cuando trabajamos con aplicaciones web. Existen dos tipos de URLs:

  * **fully qualified absolute URL** como, por ejemplo, *https://pastebin.com/* o *https://en.wikipedia.org/robots.txt*
  * **relative URL** como, por ejemplo, *../imagenes/recuerdos.png* o *contacta_con_nosotros.html*

Como podemos ver una *relative URL* omite cierta información como el protocolo de acceso (http) o la ruta completa al recurso que queremos acceder. Vamos a ver primero la estructura de una URL completa (**fully qualified absolute URL**):

<img src="img/url_wiki.png" style="float:left">
<div style="clear:both"></div><br>

Las partes que se marcan en color verde son opcionales. Lo que significa que pueden estar presentes o no. Los componentes son:

<img src="img/url_wiki_1.png" style="float:left">
<div style="clear:both"></div><br>
Es una palabra seguida de dos puntos que nos indica el protocolo que usaremos para acceder a la página web o archivo que queramos. Esta palabra (scheme) no distingue entre mayúsculas o minúsculas, luego nos da igual escribir *hTTp:* o *http:*. Algunos *schemes* son muy conocidos (http:, ftp:, https:) y otros no tanto (data:, javascript:)

<img src="img/url_wiki_2.png" style="float:left">
<div style="clear:both"></div><br>
Indicador de jerarquía. La doble barra (**//**), también conocida como indicador de jeraquía, se incluye después de los 2 puntos. Hay URLs que no son completas que no lo llevan. Por ejemplo las que utilizamos para enlazar un correo electrónico:

**mailto:user@example.com**

<img src="img/url_wiki_3.png" style="float:left">
<div style="clear:both"></div><br>

Esta es parte es opcional y muy poco recomendable de usar. Sirve para indicar las credenciales que se usan para autenticarse ante servicios que usan [autenticación básica](https://es.wikipedia.org/wiki/Autenticación_de_acceso_básica). Ya veremos un cuando hablemos del protocolo HTTP. Esta sección de la URL tiene 4 partes:

  * **usuario**
  * **:**
  * **contraseña**
  * **@**

un ejemplo de autenticación sería: http://usuario:contraseña@dominiodeejemplo.es/

<img src="img/url_wiki_4.png" style="float:left">
<div style="clear:both"></div><br>

Para la parte del host podemos indicar:

  * un **nombre de dominio*** como example.com. (Nuevamente, no se distingue entre mayúsculas y minúsculas)
  * una **dirección IPv4** como 127.0.0.1
  * una **dirección IPv6** entre corchetes como [0:0:0:0:0:0:0:1]
  
El [RFC 3896](https://tools.ietf.org/html/rfc3986) indica el formato que debe usarse para cada tipo de *host*. Por ejemplo, las reglas para una dirección IPv4 es que se tiene que representar como una secuencia de 4 números decimales, en un rango de 0 a 255, separados por un punto:

<img src="img/url_wiki_5.png" style="float:left">
<div style="clear:both"></div><br>

Sin embargo, debido a que el motor de muchos navegadores están implementados en el [lenguaje C](https://es.wikipedia.org/wiki/C_%28lenguaje_de_programación%29) y atendiendo a que muchas de las funciones de las librerias standard del lenguaje C son más permisivas que el RFC 3896, podemos encontrarnos con que los navegadores también aceptan direcciones IPv4 que no sigan el formato especificado en el RFC 3896. Por ejemplo, se pueden expresar direcciones IPv4 en valores hexadecimales u octales. Es decir, si tomamos la dirección local (127.0.0.1), las siguientes son host válidos:

  * http://127.0.0.1/
  * http://0x7f.1/
  * http://017700000001/
  
Hagamos la prueba. Iniciemos el servidor web apache en nuestra máquina Kali Linux:

*systemctl start apache2*

<img src="img/url_wiki_6.png" style="float:left">
<div style="clear:both"></div><br>

Después abramos el navegador firefox y metemos la URL http://0x7f.1/:

<img src="img/url_wiki_7.png" style="float:left">
<div style="clear:both"></div><br>

Ahora si pulsamos *Intro* nos llevará a la dirección local donde podremos ver la pagina por defecto del servidor apache:

<img src="img/url_wiki_8.png" style="float:left">
<div style="clear:both"></div><br>
  
Lo mismo ocurre con los nombres de dominio que deberían seguir la especificación del [RFC 1034](https://tools.ietf.org/html/rfc1034#section-3.5):

<img src="img/url_wiki_9.png" style="float:left">
<div style="clear:both"></div><br>

pero en la práctica no siempre se cumple.

<img src="img/url_wiki_10.png" style="float:left">
<div style="clear:both"></div><br>

Otro componente opcional es indicarle el número de puerto a la URL. Si no lo indicamos, por defecto usará:

  * el puerto 80 para http
  * el puerto 443 para https
  
Pero podemos usar el puerto que queramos. Veamos un ejemplo. Python tiene un módulo que se sirve para levantar un servidor web en la carpeta que estemos usando actualmente. Para levantarlo usamos el comando:

*python -m SimpleHTTPServer*

<img src="img/url_wiki_11.png" style="float:left">
<div style="clear:both"></div><br>

Como vemos se levanta un servicio web en el puerto 8000. Podemos acceder nuevamente al servicio web usando firefox:

<img src="img/url_wiki_12.png" style="float:left">
<div style="clear:both"></div><br>

<img src="img/url_wiki_13.png" style="float:left">
<div style="clear:both"></div><br>

El siguiente componente de la URL es la ruta (*path*) que utilizamos para acceder a un archivo o página web. La especificación de las rutas esta basada en la especificación de directorios que usan los sistemas operativos derivados de [UNIX](https://es.wikipedia.org/wiki/Unix). Es decir que, al igual que ocurre en los sistemas operativos GNU/Linux, las rutas **/../** y **/./** también se resuelven. Un ejemplo de ruta es **/robots.txt**:

https://en.wikipedia.org/robots.txt

o simplemente **/** para que nos muestre la página por defecto:

<img src="img/url_wiki_14.png" style="float:left">
<div style="clear:both"></div><br>

<img src="img/url_wiki_15.png" style="float:left">
<div style="clear:both"></div><br>

El siguiente componente opcional de la URL se llama [query string](https://en.wikipedia.org/wiki/Query_string). Esta sección se usa para pasar parámetros (variables) y valores que luego sean interpretados por el servidor. El *query string* comienza con el símbolo **?**. Al símbolo **?** le siguen el nombre de cada parámetro (variable) seguida de un símbolo igual y su valor. Por ejemplo **?edad=30**:

http://httpbin.org/get?edad=30

<img src="img/url_wiki_16.png" style="float:left">
<div style="clear:both"></div><br>

edad es el parámetro y 30 el valor. Podemos pasar varios parámetros (variables) separándolos con el símbolo **&**:

http://httpbin.org/get?edad=30&color=morado

<img src="img/url_wiki_17.png" style="float:left">
<div style="clear:both"></div><br>

<img src="img/url_wiki_18.png" style="float:left">
<div style="clear:both"></div><br>

El último componente opcional de una URL es el [identicador de fragmento](https://en.wikipedia.org/wiki/Fragment_identifier). En este caso es un valor que podemos pasar. A diferencia de lo que ocurre con el *query string* que cuyos valores están pensados para que los interprete el navegador, el *fragment identifier* está pensado para que lo interprete el navegador:

https://www.w3.org/2009/08/skos-reference/skos.html#broader

Las URL están descritas en el [RFC 1738](https://tools.ietf.org/html/rfc1738). Para ampliar conocimientos se recomienda consultar el [RFC 3896](https://tools.ietf.org/html/rfc3986) que describe el sintaxis de las [URI](https://es.wikipedia.org/wiki/Identificador_de_recursos_uniforme) y el siguiente [hilo](https://stackoverflow.com/questions/176264/what-is-the-difference-between-a-uri-a-url-and-a-urn) en stack overflow.

#### Carácteres reservados y url encoding

Como hemos visto en el formato de la URLs, hay ciertos carácteres, como **?** o **#**, que tienen una función específica. Estos carácteres se denominan carácteres reservados y, entre otros, están:

**: / ? # [ ] @ +**

Alguna de estás funcionalidades ya las hemos visto y otras no. Por repasar algunas:

  * **?** indica que empieza el *query string*
  * **+** indica un espacio
  * **#** indica el comienzo del *fragment id*
  * **@** sirve para separar la parte del host de la parte de credenciales
  * **:** se utilizan como carácter para finalizar el scheme y para separar usuario y contraseña
  * **/** se utiliza para separar directorios

Los navegadores de internet tienen que interpretar la URL que el usuario teclea en el navegador y, en ocasiones, el usuario necesita hacer uso de estos carácteres reservados para realizar busquedas en internet. Por ejemplo, el usuario puede pasar un email valor de un parámetro (variable) del query string. El email contiene un carácter reservado (**@**):

http://httpbin.org/get?email=user@example.com

Normalmente, la solución que aplica el navegador en estos casos es codificar los símbolos del usuario usando el método *URL encoding* o también llamado *Percent encoding*. **URL encoding** consiste en sustituir el carácter que queramos, por un símbolo de porcentaje (**%**) seguido de 2 dígitos hexadecimales que representen el valor [ASCII](https://es.wikipedia.org/wiki/ASCII) del carácter que queramos sustituir. Por ejemplo, si quisiéramos sustituir una barra **/** podríamos codificarlo como **%2f**. Aunque sólo los carácteres deben ser sustituidos, nosotros podemos sustituir los carácteres que queramos. Por ejemplo, la letra **e** tiene el código ASCII hexadecimal **65**. Por lo que podemos codificar la letra **e** como **%65**. Una vez codificada, podemos sustituir la letra **e** por **%65** en la URL. Veamos un ejemplo. Si intentamos acceder a:

http://%65xample.com

<img src="img/url_wiki_19.png" style="float:left">
<div style="clear:both"></div><br>

Vemos que correctamente se interpreta la URL y nos lleva a:

http://example.com/

<img src="img/url_wiki_20.png" style="float:left">
<div style="clear:both"></div><br>

Para tener una lista completa de los carácteres podemos consultar una tabla [ASCII](https://www.asciitable.com/). 

<img src="img/url_wiki_21.png" style="float:left">
<div style="clear:both"></div><br>

O usar una página web para codificar los carácteres ascii a hexadecimal como [rapidtables](https://www.rapidtables.com/convert/number/ascii-to-hex.html):

<img src="img/url_wiki_22.png" style="float:left">
<div style="clear:both"></div><br>

#### Burp decoder

[Burp suite](https://portswigger.net/burp) también puede ayudarnos a codificar y descodificar las URLS. Cuando hablamos de codificar nos estamos refieriendo a pasar un número de decimal a hexadecimal o un código ascii (que no deja de ser un número) a la letra que representa ese número. Ya hemos visto otras funcionalidades de burp anteriormente, vamos a centrarnos ahora en burp decoder. Para ello, ejecutamos burp pulsando el icono:

<img src="img/burp_decoder_1.png" style="float:left">
<div style="clear:both"></div><br>

Pulsamos el botón *Next* para continuar:

<img src="img/burp_decoder_2.png" style="float:left">
<div style="clear:both"></div><br>

y finalmente el botón *Start Burp* para iniciarlo:

<img src="img/burp_decoder_3.png" style="float:left">
<div style="clear:both"></div><br>

Una vez iniciado burp, pulsamos la pestaña *Decoder*:

<img src="img/burp_decoder_4.png" style="float:left">
<div style="clear:both"></div><br>

Burp decoder, nos va a permitir codificar información (carácteres, texto, numeros,...) de un formato a otro. Veamos unos ejemplos. Codifiquemos un texto a hexadecimal. Para ello tecleamos el texto:

<img src="img/burp_decoder_5.png" style="float:left">
<div style="clear:both"></div><br>

Veremos que en la parte de abajo directamente, por defecto, lo muestra en hexadecimal. Nosotros queremos convertir el texto el valor hexádecimal de los caracteres en la tabla ASCII para ello pulsamos en el menú *Encode as ...* y seleccionamos *ASCII hex* de las opciones disponibles:

<img src="img/burp_decoder_6.png" style="float:left">
<div style="clear:both"></div><br>

veremos que nuestro texto se ha convertido en los códigos hexadecimales ASCII correspondientes a cada letra de la frase:

<img src="img/burp_decoder_7.png" style="float:left">
<div style="clear:both"></div><br>

También podemos codificar una URL con varios propósitos como ocultarla o saltarnos algún mecanismo de seguridad como veremos más adelante. Cuando codifiquemos una URL debemos excluir la parte del scheme ya que algunos navegadores no lo interpretan bien. Para pasar un nombre de dominio a formato *URL encoding* (Percent Encoding), tecleamos el nombre de dominio:

<img src="img/burp_decoder_8.png" style="float:left">
<div style="clear:both"></div><br>

y seleccionamos *URL* el menú desplegable *Encode as ...*:

<img src="img/burp_decoder_9.png" style="float:left">
<div style="clear:both"></div><br>

veremos que el nombre de dominio ha quedado convertido en el formato *URL encoding*:

<img src="img/burp_decoder_10.png" style="float:left">
<div style="clear:both"></div><br>

Para comprobar que la conversión es correcta, podemos teclear el scheme y despues copiar el nombre de dominio convertido a *Percent encoding* en la barra de cualquier navegador:

<img src="img/burp_decoder_11.png" style="float:left">
<div style="clear:both"></div><br>

y pulsar *Intro* para que nos muestre la página asociada al dominio:

<img src="img/burp_decoder_12.png" style="float:left">
<div style="clear:both"></div><br>

También podemos usar burp decoder para decodificar una URL que, por ejemplo, nos llegue en un correo de phising. En este caso copiamos la URL en burp decoder:

https://www.example.com/login.html?%52%65%6c%61%79%53%74%61%74%65%3d%68%74%74%70%3a%2f%2f%45%76%69%6c%57%65%62%73%69%74%65%2e%63%6f%6d

<img src="img/burp_decoder_13.png" style="float:left">
<div style="clear:both"></div><br>

A continuación desplegamos el menú *Decode as ...* y seleccionamos *URL*:

<img src="img/burp_decoder_14.png" style="float:left">
<div style="clear:both"></div><br>

Veremos que ahora podemos ver la URL descodificada:

<img src="img/burp_decoder_15.png" style="float:left">
<div style="clear:both"></div><br>

En este caso vemos que se estaría intentando redireccionar al usuari una página web distinta a la que el piensa que esta accediendo. Aparte *URL Encoding (Percent encoding)* o calcular el código hexadecimal de un carácter de la tabla ASCII, burp decoder puede codificar/descodificar a otros sistemas de numeración como base64. Por ejemplo, en autenticación básica que veremos más adelante y que no debe usarse, el usuario y la contraseña se pasan en base64. El proceso siempre es el mismo. Tecleamos lo que queramos codificar en burp decoder:

*IEUSer@Passw0rd!*

<img src="img/burp_decoder_16.png" style="float:left">
<div style="clear:both"></div><br>

seleccionamos *Base64* del menú *Encode as ...*

<img src="img/burp_decoder_17.png" style="float:left">
<div style="clear:both"></div><br>

y vemos el resultado:

<img src="img/burp_decoder_18.png" style="float:left">
<div style="clear:both"></div><br>

También incluso nos permite calcular hashes. Por ejemplo, para calcular el valor hash md5 de la palabra *password*. Tecleamos la palabra *password*:

<img src="img/burp_decoder_19.png" style="float:left">
<div style="clear:both"></div><br>

Seleccionamos *MD5* en el menú desplegable *Hash ...*:

<img src="img/burp_decoder_20.png" style="float:left">
<div style="clear:both"></div><br>

y veremos el valor hash md5 de la palabra *password*:

*5f4dcc3b5aa765d61d8327deb882cf99*

<img src="img/burp_decoder_21.png" style="float:left">
<div style="clear:both"></div><br>

#### Breve introducción informal unicode y su codificación en las URLs

Debido a que muchos lenguajes que usan alrededor del mundo exceden el número de símbolos que pueden representar con una tabla ASCII, se fueron creando tablas alternativas que permitiesen codificar símbolos de idiomas como el árabe, ruso, chino, japonés o español. El problema de estas tablas o sistemas de codificación es que no eran compatibles unos con otros, lo cuál hacía difícil la labor de compartir información. Este problema de incompatibilidades dio lugar a la creación de Unicode, un sistema de símbolos universal que permite codificar cualquier símbolo de cualquier lenguaje. Una de las implementaciones del sistema Unicode para estandarizar su uso fue [Unicode Transformation Format - 8](https://es.wikipedia.org/wiki/UTF-8) (UTF-8). UTF-8 es totalmente compatible con la especificación ASCII por lo que podemos representar cualquier carácter del modo que hemos visto anteriormente y ademas nos permite representar cualquier, no sólo símbolos de otros lenguajes, sino otros símbolos como iconos, usando códigos de una longitud variable en un rango de 1 byte (8-bits) a 4 bytes (32-bits).

#### Breve introducción informal a Internationalized Resource Identifiers (IRI)

El estándar [IRI](https://en.wikipedia.org/wiki/Internationalized_Resource_Identifier) definido en el [RFC 3897](https://tools.ietf.org/html/rfc3987) amplía la especifícación de las URI y permite representar símbolos UTF-8 en las URLs. De esta forma podremos representar carácteres que necesiten más de un byte (8-bits) para ser representados. Veamos algunos ejemplos. Para ello, vamos a ayudarnos de la siguiente página web:

http://www.utf8-chartable.de/

en donde se nos indica que códigos debemos usar para representar estos caracteres. Accedemos a la página:

<img src="img/iri_1.png" style="float:left">
<div style="clear:both"></div><br>

Por ejemplo, seleccionamos los *emoticonos* en el menú desplegable:

<img src="img/iri_2.png" style="float:left">
<div style="clear:both"></div><br>

seleccionamos un emoticono que nos guste y copiamos los números hexadecimales:

<img src="img/iri_3.png" style="float:left">
<div style="clear:both"></div><br>

Ponemos un porcentaje (%) delante de los números hexadecimals y por ejemplo los usamos para realizar una busqueda en google: 

https://www.google.es/search?q=%f0%9f%98%87

<img src="img/iri_4.png" style="float:left">
<div style="clear:both"></div><br>

y ver todos los resultados que contengan nuestro emoticono:

<img src="img/iri_5.png" style="float:left">
<div style="clear:both"></div><br>

#### Breve introducción informal a Internationalized Domain Names (IDN) y el sistema punycode

Los carácteres unicode también presentaron un desafío para los nombres de dominio porque el sistema DNS sólo estaba preparado para carácteres ASCII. Luego no podía gestionar estos carácteres unicode. Como vimos al principio de esta sección en el [RFC 3896](https://tools.ietf.org/html/rfc3986), los nombres de dominio siguen la especificación del [RFC 1034](https://tools.ietf.org/html/rfc1034#section-3.5):

<img src="img/url_wiki_9.png" style="float:left">
<div style="clear:both"></div><br>

Es decir, de acuerdo al *RFC 1034*, los nombres de dominio, basicamente, podían contener letras, números, guiones, el símbolo menos (**-**) y el punto (**.**). Con estas reglas tan restrictivas no se podían representar dominios en idiomas como el japonés o el árabe. Para permitir nombres de dominios con carácteres unicode se crearon:

  * Internationalized Domain Names (IDN)
  * Punycode
  
Los [IDN](https://es.wikipedia.org/wiki/Nombre_de_dominio_internacionalizado) son nombres de dominio que contienen carácteres no-ASCII y [Punycode](https://es.wikipedia.org/wiki/Punycode) es el método de codificación que se usa para representar estos caracteres no-ASCII. Vamos a explicarlo un poco mejor. Cuando se decidió aceptar nombres de dominio IDN con caracteres no-ASCII había un problema y es que, como hemos visto, las reglas de los nombres de dominio no permiten estos caracteres no-ASCII. La solución que se dió a este problema fue implementar un método de traducción, en los navegadores de internet, para convertir los IDN (nombres de dominio con caracteres no-ASCII) a cadenas de carácteres ASCII. A este método o sistema de codificación se le denominó Punycode. El algoritmo o método de traducción que utiliza punycode esta descrito en el [RFC 3492](https://tools.ietf.org/html/rfc3492). Grosso modo, el formato que utiliza punycode para codificar los dominios IDN en cadenas ASCII es:

**xn--{caracteresASCIIDelDominio}-{codificaciónPunicodeDeCaracteresNo-ASCII}.ext**

Aunque describir el algoritmo excede del alcance de esta pequeña guía, veamos algunos ejemplos. Accedemos a una página web que nos convierta caracteres unicode a punycode como http://punycode.es/

<img src="img/punycode_1.png" style="float:left">
<div style="clear:both"></div><br>

vamos a hacer una pequeña traducción. Para ello, hacemos click sobre la sección *Caracteres Unicode*:

<img src="img/punycode_2.png" style="float:left">
<div style="clear:both"></div><br>

en el desplegable, seleccionamos *04: Cyrillic* para usar este grupo de caracteres:

<img src="img/punycode_3.png" style="float:left">
<div style="clear:both"></div><br>

ahora hacemos click sobre el símbolo *a* en *Cyrillic* -que no es lo mismo que la letra a del alfabeto aunque se le parezca mucho-:

<img src="img/punycode_4.png" style="float:left">
<div style="clear:both"></div><br>

Ahora seleccionamos *00: Basic Latin, Latin 1* del menú desplegable:

<img src="img/punycode_5.png" style="float:left">
<div style="clear:both"></div><br>

Ponemos el cursor detrás del símbolo *a* del grupo de caracteres *Cyrillic* y hacemos click en la letra p:

<img src="img/punycode_6.png" style="float:left">
<div style="clear:both"></div><br>

Ponemos el cursor detrás de la letra *p* y hacemos click nuevamente en la letra *p* para añadir otra más:

<img src="img/punycode_7.png" style="float:left">
<div style="clear:both"></div><br>

A continuación ponemos el cursor detrás de la segunda *p* y añadimos una *l*:

<img src="img/punycode_8.png" style="float:left">
<div style="clear:both"></div><br>

ahora ponemos el cursor detrás de la *l* y añadimos una *e*:

<img src="img/punycode_9.png" style="float:left">
<div style="clear:both"></div><br>

finalmente, nos ponemos detrás de la *e* y añadimos el *.com*:

<img src="img/punycode_10.png" style="float:left">
<div style="clear:both"></div><br>

y pulsamos el botón *A Punycode*:

<img src="img/punycode_11.png" style="float:left">
<div style="clear:both"></div><br>

para traducirlo:

<img src="img/punycode_12.png" style="float:left">
<div style="clear:both"></div><br>

vemos que la traducción:

**xn--pple-43d.com**

sigue el formato punycode que visto anteriormente:

**xn--{caracteresASCIIDelDominio}-{codificaciónPunicodeDeCaracteresNo-ASCII}.ext**

Aunque el nombre de dominio registrado es xn--pple-43d.com, el nombre de dominio que figura es exactamente igual al de apple.com. Ahora bien, en los navegadores modernos, este dominio malicioso es tan obvio que es detectado a la primera y se muestra su representación punycode cuando lo copiamos

<img src="img/punycode_13.png" style="float:left">
<div style="clear:both"></div><br>

y pulsamos *intro*:

<img src="img/punycode_14.png" style="float:left">
<div style="clear:both"></div><br>

Sin embargo ciertas combinaciones de caracteres no son detectadas. Uno de los primeros ataques que hicieron uso de esta técnica son los llamados [Homograph attack](https://en.wikipedia.org/wiki/IDN_homograph_attack) para confundir al usuario cambiando unos caracteres por otros y registrar un nombre de dominio que visualmente se vea igual que otro. La descripción completa del ataque puede encontrarse en el siguiente documento:

https://www.cs.technion.ac.il/~gabr/papers/homograph_full.pdf

Veamos un ejemplo publicado en la página [Krebonsecurity](https://krebsonsecurity.com/2018/03/look-alike-domains-and-visual-confusion/). Si accedemos al dominio que nos indican en esa página usando la última versión de firefox veremos que seremos víctimas del ataque de phising:

<img src="img/punycode_15.png" style="float:left">
<div style="clear:both"></div><br>

Si probamos en Edge veremos que identifica el dominio malicioso y lo traduce a punycode:

<img src="img/punycode_16.png" style="float:left">
<div style="clear:both"></div><br>

Para defendernos de este tipo de ataques sólo podemos contar con la seguridad del propio navegador. Habrá dominios maliciosos que sean detectados por firefox y no por chrome y viceversa.

Para ampliar información consultar el siguiente libro:

[Tangled Web - A Guide to Securing Modern Web Applications](https://nostarch.com/tangledweb)

<a name="http"></a>

### Breve introducción informal al protocolo HTTP

Una vez que hemos visto que una URL identifica un recurso (archivo) en internet. Vamos a ver cómo hacemos las peticiones a esos recursos. En la vida real, utilizamos la lengua castellana para solicitar un café al camarero (servidor) y en internet, el navegador web utiliza un lenguaje (protocolo) llamado HTTP para pedir los cafés (páginas web) al camarero (servidor). Aunque la última versión de este protocolo es la 2.0, vamos a ver la 1.1 que es la versión más utilizada. La estructura de una petición HTTP en la que sólo vamos a pedir datos es:

<img src="img/http_1.png" style="float:left">
<div style="clear:both"></div><br>

Vemos que el navegador sigue esta estructura al solicitar una página web:

<img src="img/http_2.png" style="float:left">
<div style="clear:both"></div><br>

En este caso usa el método GET del protocolo HTTP 1.1 para solicitar la URI */mundo* al host www.bbc.com. Asimismo cuando realizamos una petición, siempre que el servidor este activo y contando con que ningún dispositivo de seguridad nos esté bloqueando, recibiremos una respuesta HTTP. Aparte de la página web que vemos en el navegador, la respuesta tiene la siguiente estructura:

<img src="img/http_2_1.png" style="float:left">
<div style="clear:both"></div><br>

Asimismo podemos ver esta misma estructura en el navegador:

<img src="img/http_2_2.png" style="float:left">
<div style="clear:both"></div><br>

También se pueden enviar datos a través del protocolo HTTP, en este caso la petición tiene la siguiente estructura:

<img src="img/http_3.png" style="float:left">
<div style="clear:both"></div><br>

Algunos de los métodos más frecuentes que podemos usar para realizar peticiones HTTP son:

  * HEAD
  * OPTIONS
  * GET
  * POST
  * PUT
  * DELETE

#### Utilizando telnet para realizar peticiones HTTP

Vamos a utilizar el programa telnet para familiarizarnos con el protocolo HTTP. Para ello, haremos peticiones a la página http://httpbin.org/. Para conectarnos desde telnet a httpbin.org, tecleamos en el terminal de Kali Linux:

*telnet httpbin.org 80*

<img src="img/telnet_1.png" style="float:left">
<div style="clear:both"></div><br>

Veremos que conecta con el host y nos muestra el cursor parpadeando para indicarnos que podemos realizar la petición. Escribimos la línea de la petición (Request Line). Vamos a empezar usando *GET* para solicitar el recurso principal (URI /):

<img src="img/telnet_1_2.png" style="float:left">
<div style="clear:both"></div><br>

Añadimos las cabeceras que queramos usar:

<img src="img/telnet_2.png" style="float:left">
<div style="clear:both"></div><br>

y pulsamos intro para realizar la petición y obtener la respuesta:

<img src="img/telnet_3.png" style="float:left">
<div style="clear:both"></div><br>

Si sólo quisiéramos las cabeceras HTTP de la respuesta, en vez de toda la página, podemos usar el método HEAD:

<img src="img/telnet_4.png" style="float:left">
<div style="clear:both"></div><br>

Como podemos ver nos devuelve sólo la cabecera de la respuesta sin incluir el contenido. Para saber todos los métodos del protocolo HTTP disponibles, podemos usar el método OPTIONS:

<img src="img/telnet_5.png" style="float:left">
<div style="clear:both"></div><br>

Como hemos visto en la sección anterior, podemos realizar peticiones HTTP pasando variables en el *query string* de la URL para ello usaremos el verbo GET y haremos la petición a la URI /get:

<img src="img/telnet_6.png" style="float:left">
<div style="clear:both"></div><br>

También hemos visto que podemos pasar variables en el cuerpo de la petición usando el método POST del protocolo HTTP. Para ello, realizamos la petición a la URI /post. Es importante en las peticiones que utilizan el método POST añadir la cabecera Content-Length:

<img src="img/telnet_7.png" style="float:left">
<div style="clear:both"></div><br>

#### Utilizando openssl para realizar peticiones HTTPS

Telnet es una herramienta útil para solicitar páginas por HTTP. Pero hoy en día la mayoría de los recursos web se sirven mediante HTTPS. Debido a esto podemos usar el programa s_client de openssl para realizar este tipo de peticiones. La sintaxis es:

*openssl s_client -connect host:port*

Por ejemplo, vamos a usar openssl para solicitar la página https://example.com. Para ello tecleamos:

*openssl s_client -connect example.com:443*

<img src="img/openssl_1.png" style="float:left">
<div style="clear:both"></div><br>

y pulsamos Intro. Tras la información del certificado, nos mostrará el cursor para que realicemos la petición HTTP:

<img src="img/openssl_2.png" style="float:left">
<div style="clear:both"></div><br>

y ahora podemos realizar la petición:

<img src="img/openssl_3.png" style="float:left">
<div style="clear:both"></div><br>

#### Utilizando cURL para realizar peticiones HTTP o HTTPS

Uno de los programas más utilizados para realizar peticiones HTTP/HTTPS es [cURL](https://curl.haxx.se/). Aunque ya lo hemos utilizado un poco de pasada anteriormente, veamos un poco más de detalle. Para hacer una petición *GET* con cURL simplemente escribimos curl seguido del nombre de la web:

<img src="img/curl_1.png" style="float:left">
<div style="clear:both"></div><br>

Si queremos que, aparte del contenido, se nos muestren las cabeceras de la respuestas, le pasamos la opción *-i* a curl:

*curl -i https://example.com*

<img src="img/curl_2.png" style="float:left">
<div style="clear:both"></div><br>

Si sólo queremos las cabeceras de la respuesta, le pasamos la opción *-I* a curl:

*curl -I https://example.com*

<img src="img/curl_3.png" style="float:left">
<div style="clear:both"></div><br>

Ahora bien, qué ocurre cuando hacemos una petición a una página cuyo certificado no ha sido emitido por una CA de confianza:

*curl https://self-signed.badssl.com/*

<img src="img/curl_4.png" style="float:left">
<div style="clear:both"></div><br>

No nos deja ver el recurso porque el certificado no puede comprobarse. Para que acepte certificados inseguros podemos usar la opción *-k* a curl:

*curl -k https://self-signed.badssl.com/*

<img src="img/curl_5.png" style="float:left">
<div style="clear:both"></div><br>

Ahora vemos que si nos acepta el contenido. Pero no sólo podemos hacer peticiones usando el método *GET* del protocolo HTTP. Podemos pasar a curl la opción *-X* seguida del método que queramos usar. Por ejemplo el método OPTIONS:

*curl -X OPTIONS -i http://httpbin.org*

<img src="img/curl_6.png" style="float:left">
<div style="clear:both"></div><br>

También podemos personalizar las cabeceras del protocolo HTTP que usará curl para realizar la petición. Para ello, le pasamos a curl la opción *-H* seguida de la cabecera por cada una de las cabeceras que queramos añadir. Por ejemplo, vamos a añadirle la cabecera *User-Agent* para indicar quién hace la petición y la cabecerá *Referer* para indicar desde donde venimos:

*curl -H "User-Agent: Soy Curl desde Kali" -H "Referer: https://vengodesdeaqui.mismo" http://httpbin.org/get*

<img src="img/curl_7.png" style="float:left">
<div style="clear:both"></div><br>

Hasta ahora las peticiones que hemos realizado son para solicitar información pero y si queremos hacer una peticion con el método POST para enviar datos. En ese caso, pasamos a curl la opción *--data* y a continuación los datos a enviar:

*curl -X POST --data "edad=30&color=morado" http://httpbin.org/post*

<img src="img/curl_8.png" style="float:left">
<div style="clear:both"></div><br>

<a name="frontend"></a>

### Frontend - El lado del cliente

Una vez visto a dónde solicitar los recursos (URL) y cómo solicitarlos (protocolo HTTP). Vamos a ver un poco más en detalle que nos devuelve el camarero (servidor) cuando le pedimos un desayuno (recurso).

#### Breve introducción informal a HTML

El lenguaje [HTML](https://es.wikipedia.org/wiki/HTML) (HyperText Markup Language) es un lenguaje de marcado y nos sirve para indicar qué es cada cosa en una página web. Es decir, es el lenguaje que da estructura a la página web. Es un lenguaje de marcado porque utiliza etiquetas para indicarnos qué es cada cosa que hay en una página web. Por ejemplo, si queremos indicar que un texto es un párrafo, lo ponemos entre etiquetas *p* de párrafo:

```html
<p>Esto es un párrafo</p>
```

Como se puede aprenciar la primera etiqueta *p* indica donde empieza el párrafo y la siguiente */p* indica dónde acaba. Sí alguna palabra de nuestro párrafo es importante, podemos indicarlo situando la palabra importante entre etiquetas strong:

```html
<p>La <strong>teoría</strong> es importante para entender la práctica</p>
```

Este conjunto de etiquetas que podemos usar son las que dan estructura a la página web y forman un documento html. Vamos a verlo de forma práctica. Sí copiamos el texto y las etiquetas html a un documento de texto:

<img src="img/html_1.png" style="float:left">
<div style="clear:both"></div><br>

y lo guardamos con extensión html (*miweb.html*). Al abrir el fichero en cualquier navegador, se interpretará el texto:

<img src="img/html_2.png" style="float:left">
<div style="clear:both"></div><br>

Como la palabra **teoría** esta entre etiquetas strong, se muestra en negrita. Hay muchas más etiquetas interesantes. En dos ejemplos anteriores hemos utilizado una etiqueta para indicar dónde empieza el contenido y otra para indicar dónde acaba, pero esto no siempre es así. Por ejemplo, si quisiéramos insertar una imágen, nos bastaría usar una etiqueta *img* y decirle dónde está la imagen usando la palabra src:

```html
<img src="https://placekitten.com/g/800/300">
```

En este caso la imagen se encuentra en: https://placekitten/g/800/300. La palabra src que hemos usando dentro de la etiqueta *img* se denomina **atributo de la etiqueta** y nos aporta información adiccional. En este caso nos indica dónde esta la imagen que mostrará la etiqueta img. Para verlo de forma práctica, si esto lo añadimos al fichero con extensión html:

<img src="img/html_3.png" style="float:left">
<div style="clear:both"></div><br>

y lo guardamos. Al abrir el fichero en un navegador veremos que se añade la imagen:

<img src="img/html_4.png" style="float:left">
<div style="clear:both"></div><br>

Cuando metemos un contenido entre etiquetas html, este contenido pasa a ser un elemento del documento HTML. Los elementos pueden clasificarse en 2 grandes grupos:

  * elementos de línea
  * elementos de bloque
  
Los **elementos en línea** son aquellos que no producen un salto de línea cuando los usamos. Por ejemplo, cuando usabamos la etiqueta strong dentro de un párrafo para indicar que una palabra era importante, la palabra seguía dentro de la misma línea: 

<img src="img/html_2.png" style="float:left">
<div style="clear:both"></div><br>

Otro elemento en línea muy común son los enlaces que, en el lenguaje html, se llaman anclas (anchors). Para crear un enlace utilizamos la etiqueta *a* y el atributo *href* para indicarle a dónde queremos enlazar. Veamos un ejemplo:

```html
<p>Siempre podemos intentar buscar en <a href="https://www.google.es/">Google</a> para tener más información</p>
```
Si añadimos esta línea a nuestro fichero de texto:

<img src="img/html_5.png" style="float:left">
<div style="clear:both"></div><br>

guardamos el fichero y lo abrimos en el navegador web, veremos el enlace. Y si pulsamos sobre él:

<img src="img/html_6.png" style="float:left">
<div style="clear:both"></div><br>

Nos llevará a la web de google:

<img src="img/html_7.png" style="float:left">
<div style="clear:both"></div><br>

Los **elementos en bloque** son aquellos que añaden un salto de línea. Por ejemplo, la etiqueta *br* añade un salto de línea a los párrafos:

```html
<p>Este texto esta arriba<br>y este texto abajo</p>
```
Si copiamos este texto a nuestro bloc de notas:

<img src="img/html_8.png" style="float:left">
<div style="clear:both"></div><br>

nuevamente lo guardamos y lo abrimos en el navegador:

<img src="img/html_9.png" style="float:left">
<div style="clear:both"></div><br>

veremos como la etiqueta *br* ha añadido un salto de línea al contenido. Los elementos de bloque se conocen como cajas y el elemento de bloque genérico se llama div. Podemos añadirlo a nuestra web:

```html
<div>Este es un elemento genérico</div>
```
Para visualizarlo, nuevamente, lo añadimos al bloc de notas:

<img src="img/html_10.png" style="float:left">
<div style="clear:both"></div><br>

y lo visualizamos en el navegador:

<img src="img/html_11.png" style="float:left">
<div style="clear:both"></div><br>

Debido al alcance de esta pequeña guía, no es posible cubrir en detalle todas las etiquetas del lenguaje HTML pero, para quién quiera profundizar o tener una guía, puede consultar [Mozilla Developer Network](https://developer.mozilla.org/es/docs/Web/HTML)

#### Breve introducción informal a la estructura de un documento HTML

Hasta ahora hemos usado etiquetas html en un bloc de notas para crear una página web. Estas etiquetas las hemos puesto sin ningún tipo de orden lógico. Sin embargo, cuando se crea un documento html, se sigue una organización determinada. Grosso modo, se reparte el contenido entre:

  * la parte que va a ver el usuario
  * la parte que no va a ver el usuario
  
La parte que va a ver el usuario se mete entre la etiqueta **body** y el contenido que no va a ver se mete entre la etiqueta **head**. El contenido que el usuario no va a ver son normalmente metadatos u otra información que no es mostrada directamente por el navegador cuando el usuario accede a la página web. Toda página web comienza por la declararse como documento html:

```html
<!doctype html>
```
y después entre la etiqueta html, define el contenido que verá o no verá el usuario:

```html
<!doctype html>

<html>
    <head></head>
    <body></body>
</html>
```

Por ejemplo, para crear un documento html correcto de la web que hemos creado antes, meteriamos el contenido entre la etiqueta body:

```html
<!doctype html>

<html>
    <head></head>
    <body>
        <p>La <strong>teoría</strong> es importante para entender la práctica</p>
        <img src="https://placekitten.com/g/800/300">
        <p>Siempre podemos intentar buscar en <a href="https://www.google.es/">Google</a> para tener más información</p>
        <p>Este texto esta arriba<br>y este texto abajo</p>
        <div>Este es un elemento genérico</div>
    </body>
</html>
```

Si copiamos el contenido al bloc de notas:

<img src="img/html_12.png" style="float:left">
<div style="clear:both"></div><br>

lo guardamos y lo abrimos en el navegador:

<img src="img/html_11.png" style="float:left">
<div style="clear:both"></div><br>

Aunque el contenido no cambia, ahora tendremos un documento html bien formateado.

#### Breve introducción informal a CSS

CSS da color y estilo a las páginas web. Si HTML me dice qué es cada cosa que hay en la página, CSS me va a decir donde quiero poner cada cosa, de qué color quiero pintarlas o que tamaño de letra usar. Y como no podía ser de otra forma, utilizaremos una etiqueta que se llama **style** para usar reglas CSS en nuestra página web:

```html
<style>/*Las reglas CSS van aquí*/</style>
```
Veamos un ejemplo con la página web que hemos creado antes. Como las reglas CSS no hay necesidad que sean visibles para el usuario, pondremos la etiqueta style dentro de la etiqueta head. La primera regla que vamos a usar es que las palabras importantes, esas que iban entre etiquetas strong, se muestren en azul. Para ello, indicamos la etiqueta a la que queremos afectar, en este caso **strong** y entre corchetes indicamos la regla:

```html
<style>
    strong {
        color: blue;
    }
</style>
```

Si añadimos este código a nuestra página:

```html
<!doctype html>

<html>
    <head>
        <style>
            strong {
                color: blue;
            }
        </style>
    </head>
    <body>
        <p>La <strong>teoría</strong> es importante para entender la práctica</p>
        <img src="https://placekitten.com/g/800/300">
        <p>Siempre podemos intentar buscar en <a href="https://www.google.es/">Google</a> para tener más información</p>
        <p>Este texto esta arriba<br>y este texto abajo</p>
        <div>Este es un elemento genérico</div>
    </body>
</html>
```

Lo copiamos al bloc de notas:

<img src="img/css_1.png" style="float:left">
<div style="clear:both"></div><br>

Lo guardamos y lo abrimos en el navegador:

<img src="img/css_2.png" style="float:left">
<div style="clear:both"></div><br>

Veremos que la palabra **teoría** ahora esta en azul. También hemos comentado que nos permite decidir dónde poner cada cosa. Por ejemplo, si quisieramos poner el elemento de bloque genérico **div** arriba a la derecha. Crearíamos una regla que indicase que queremos posicionar ese elemento de forma absoluta, a 0 distancia de la parte superior de la pantalla (top) y a 0 distancia de la parte derecha de la pantalla (right). La regla sería:

```html
<style>
    div {
        position: absolute;
        top: 0;
        right: 0;
    }
</style>
```

y si la añadimos a la página web:

```html
<!doctype html>

<html>
    <head>
        <style>
            strong {
                color: blue;
            }
            div {
                position: absolute;
                top: 0;
                right: 0;
            }
        </style>
    </head>
    <body>
        <p>La <strong>teoría</strong> es importante para entender la práctica</p>
        <img src="https://placekitten.com/g/800/300">
        <p>Siempre podemos intentar buscar en <a href="https://www.google.es/">Google</a> para tener más información</p>
        <p>Este texto esta arriba<br>y este texto abajo</p>
        <div>Este es un elemento genérico</div>
    </body>
</html>
```

nuevamente, lo copiamos al bloc de notas:

<img src="img/css_3.png" style="float:left">
<div style="clear:both"></div><br>

guardamos y lo visualizamos en el navegador:

<img src="img/css_4.png" style="float:left">
<div style="clear:both"></div><br>

veremos que el elemento genérico (div) está ahora a la derecha. A veces no queremos que una regla CSS afecte a todas las etiquetas de un mismo tipo. Para ello, como en el mundo real, existen las clases. Aunque las reglas son iguales para todos, hay a clases de personas que no les afectan. Para dar una clase a una etiqueta, por ejemplo, a un párrafo, usamos el atributo class:

```html
<p class="especial">Soy un párrafo con clase</p>
```

Una vez que una etiqueta tiene clase, poder hacer reglas CSS para esa clase. Para ello, indicamos el nombre de la clase precedida de un punto cuando creemos la regla:

```html
<style>
    .especial {
        color: purple;
    }
</style>
```

Veamos un ejemplo en la web que estamos creando. Vamos a añadir al siguiente párrafo:

```html
<p>Este texto esta arriba<br>y este texto abajo</p>
```

la clase especial:

```html
<p class="especial">Este texto esta arriba<br>y este texto abajo</p>
```

y actualizar el código de nuestra web con la regla CSS de la clase especial:

```html
<!doctype html>

<html>
    <head>
        <style>
            strong {
                color: blue;
            }
            div {
                position: absolute;
                top: 0;
                right: 0;
            }
            .especial {
                color: purple;
            }
        </style>
    </head>
    <body>
        <p>La <strong>teoría</strong> es importante para entender la práctica</p>
        <img src="https://placekitten.com/g/800/300">
        <p>Siempre podemos intentar buscar en <a href="https://www.google.es/">Google</a> para tener más información</p>
        <p class="especial">Este texto esta arriba<br>y este texto abajo</p>
        <div>Este es un elemento genérico</div>
    </body>
</html>
```

Si copiamos el código al bloc de notas:

<img src="img/css_5.png" style="float:left">
<div style="clear:both"></div><br>

lo guardamos y mostramos en el navegador:

<img src="img/css_6.png" style="float:left">
<div style="clear:both"></div><br>

veremos que el texto del párrafo que tiene la clase especial está en morado. Otras reglas que podemos utilizar son:

  * **background** para cambiar el fondo de pantalla
  * **z-index** para que un elemento se superponga a otro
  * **width** para definir el ancho de un elemento
  * **height** para definir la altura de un elemento
  * **margin** para definir el margen de un elemento
  
Nuevamente no es objeto de esta pequeña guía cubrir las reglas CSS, para ampliar conocimientos se puede consultar [Mozilla Developer Network](https://developer.mozilla.org/es/docs/Web/CSS)

#### Breve introducción informal a ECMAScript (JavaScript)

[ECMAScript](https://es.wikipedia.org/wiki/ECMAScript), conocido coloquialmente como JavaScript, es el lenguaje de programación que usan la mayoría de navegadores de internet. Si HTML me dice qué es cada cosa que hay en la página y CSS me dice dónde y cómo quiero poner cada cosa, ECMAScript me dice cómo se va a comportar cada cosa o cómo va a reaccionar ante las acciones del usuario. El código de ECMAScript se añade entre la etiqueta **script**. Uno de los primeros ejemplos que se suele mostrar, es mostrar un mensaje por pantalla. Para ello, entre la etiqueta script, tecleamos la palabra **alert** seguido de paréntesis y un punto y coma (;) y, entre los paréntesis, el mensaje a mostrar entre comillas:

```html
<script>
    alert("Aquí va el mensaje a mostrar");
</script>
```

Si añadimos el código, por ejemplo, al final de la etiqueta body de nuestra página web:

```html
<!doctype html>

<html>
    <head>
        <style>
            strong {
                color: blue;
            }
            div {
                position: absolute;
                top: 0;
                right: 0;
            }
            .especial {
                color: purple;
            }
        </style>
    </head>
    <body>
        <p>La <strong>teoría</strong> es importante para entender la práctica</p>
        <img src="https://placekitten.com/g/800/300">
        <p>Siempre podemos intentar buscar en <a href="https://www.google.es/">Google</a> para tener más información</p>
        <p class="especial">Este texto esta arriba<br>y este texto abajo</p>
        <div>Este es un elemento genérico</div>
        
        <script>
            alert("Aquí va el mensaje a mostrar");
        </script>
        
    </body>
</html>
```

Lo copiamos al bloc de notas:

<img src="img/ecma_1.png" style="float:left">
<div style="clear:both"></div><br>

lo guardamos y abrimos el navegador:

<img src="img/ecma_2.png" style="float:left">
<div style="clear:both"></div><br>

veremos el mensaje al cargar la página. Aprender ECMAScript (JavaScript) da para varios cursos. Aunque esta sección se ampliará en un futuro, como siempre para ampliar conocimientos, podemos consultar [Mozilla Developer Network](https://developer.mozilla.org/es/docs/Web/JavaScript). Este lenguaje es muy importante porque se utiliza cuando se descubre alguna vulnerabilidad que nos permite ejecutar scripts en el sitio web de otra persona (ataque XSS). Veremos algunos de estos ataques y el código más adelante en este capítulo.