Using Web Proxies

Los proxies web son herramientas MITM → Capturan y manipulan solicitudes web entre clientes y servidores.
Son esenciales en pentesting web → Permiten analizar tráfico web y probar vulnerabilidades.
Funciones clave de los proxies web:
- Captura y reproducción de solicitudes HTTP
- Escaneo de vulnerabilidades
- Fuzzing y crawling web
- Análisis y mapeo de aplicaciones
Burp Suite → Herramienta más usada en pentesting web. Su versión gratuita es potente, pero la versión Pro tiene características avanzadas como el escáner activo.
OWASP ZAP → Alternativa gratuita y de código abierto a Burp Suite, sin restricciones ni funciones de pago.
Ambas herramientas son útiles → Se recomienda aprender a usar ambas para elegir la más adecuada según el tipo de pentest.

Interceptar y manipular solicitudes web → Permite analizar el tráfico y modificar datos antes de que lleguen al servidor.
Se utiliza en pruebas de seguridad web → Especialmente en la detección de vulnerabilidades como SQLi, XSS, bypass de autenticación, entre otras.
Ejemplo práctico → Se intercepta una solicitud HTTP de un botón "Ping" para modificarla antes de enviarla.

Codificación URL → Evita errores en las solicitudes HTTP asegurando que los caracteres especiales sean interpretados correctamente.
Diferentes tipos de codificación → No solo se usa URL-Encoding, sino también HTML, Unicode, Base64 y ASCII Hex.
Decodificación → Es fundamental para analizar datos codificados que las aplicaciones web puedan estar enviando.
Herramientas en Burp y ZAP → Permiten codificar y decodificar datos de manera rápida y eficiente.

Last updated 3 months ago

Los proxies web son herramientas MITM → Capturan y manipulan solicitudes web entre clientes y servidores.
Son esenciales en pentesting web → Permiten analizar tráfico web y probar vulnerabilidades.
Funciones clave de los proxies web:
- Captura y reproducción de solicitudes HTTP
- Escaneo de vulnerabilidades
- Fuzzing y crawling web
- Análisis y mapeo de aplicaciones
Burp Suite → Herramienta más usada en pentesting web. Su versión gratuita es potente, pero la versión Pro tiene características avanzadas como el escáner activo.
OWASP ZAP → Alternativa gratuita y de código abierto a Burp Suite, sin restricciones ni funciones de pago.
Ambas herramientas son útiles → Se recomienda aprender a usar ambas para elegir la más adecuada según el tipo de pentest.

Interceptar y manipular solicitudes web → Permite analizar el tráfico y modificar datos antes de que lleguen al servidor.
Se utiliza en pruebas de seguridad web → Especialmente en la detección de vulnerabilidades como SQLi, XSS, bypass de autenticación, entre otras.
Ejemplo práctico → Se intercepta una solicitud HTTP de un botón "Ping" para modificarla antes de enviarla.

Codificación URL → Evita errores en las solicitudes HTTP asegurando que los caracteres especiales sean interpretados correctamente.
Diferentes tipos de codificación → No solo se usa URL-Encoding, sino también HTML, Unicode, Base64 y ASCII Hex.
Decodificación → Es fundamental para analizar datos codificados que las aplicaciones web puedan estar enviando.
Herramientas en Burp y ZAP → Permiten codificar y decodificar datos de manera rápida y eficiente.

Last updated 3 months ago