Fundamentos de un Proxy Web

  • Posted on: 15 January 2019
  • By: ReYDeS

Parece como si existiese un mantra aceptado universalmente en el Hacking Web, el cual versa sobre uno de los primeros elementos en la lista de tareas a realizar, lo cual implica instalar y configurar un proxy para ejecutarlo al unísono con un navegador web. De hecho esto es muy importante, pero lo más importante es entender las razones por las cuales se debe utilizar un proxy a través del cual el navegador interactúe con la aplicación web.Para empezar se debe definir las acciones realizadas millones de veces al día por el navegador web (cliente) y la aplicación web (servidor).

Para empezar se debe definir las acciones realizadas millones de veces al día por el navegador web (cliente) y la aplicación web (servidor). El navegador web envía peticiones hacia la aplicación web, y la aplicación web envía respuestas de retorno hacia el navegador web. Este ciclo fundamentalmente dirige el uso de Internet. Un proxy permite ver como estos ciclos de peticiones y respuestas realmente funcionan, pues se sitúa entre el navegador web y la aplicación web, controlando el flujo de estas peticiones y respuestas.

Una vez configurado el proxy, se tendrá la capacidad de inspeccionar cada petición y respuesta atravesándolo, e interceptar o cambiar los valores correspondientes a los parámetros utilizados durante el proceso. Esto es una funcionalidad muy útil cuando se trata de explotar una aplicación web.

Otro gran uso de un proxy web, es mantener un historial de ejecución (catalogo), de todas las peticiones y respuestas atravesándolo. Esto no interfiere con el ciclo de petición y respuesta, pero permite el ciclo sea inspeccionado más adelante, durante el escaneo y explotación de las peticiones y respuestas, lo cual es el núcleo de la funcionalidad correspondiente a la aplicación web.

Fuentes:

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://en.wikipedia.org/wiki/Proxy_server

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete