Reconocimiento web e interceptación mediante proxies
Aprende sobre reconocimiento web e interceptación de HTTP, el conjunto de habilidades que te permite pasar de una simple URL a un mapa detallado de la aplicación que se encuentra detrás. Los objetivos web modernos a menudo exponen directorios ocultos, parámetros no documentados, hosts virtuales y APIs que no son visibles desde la interfaz principal. Este curso te enseña a descubrir esas superficies, inspeccionar el comportamiento HTTP sin procesar e interactuar con aplicaciones web de manera más deliberada desde la línea de comandos.
Por qué es importante
Muchos hallazgos web importantes comienzan con el reconocimiento en lugar de la explotación. Si no puedes identificar endpoints ocultos, parámetros inusuales o el comportamiento de una API, pasarás por alto toda la superficie de ataque. Esto convierte al reconocimiento web disciplinado en una habilidad fundamental tanto para las pruebas de seguridad como para la validación defensiva.
Este curso se centra en cómo se comunican realmente las aplicaciones web. Aprenderás a realizar fuzzing para encontrar contenido oculto, inspeccionar y modificar solicitudes, interactuar con APIs y construir una imagen más clara de cómo está estructurado un entorno web objetivo antes de comenzar con una explotación más profunda.
Qué aprenderás
- Descubrir directorios, archivos, parámetros y hosts virtuales ocultos mediante herramientas de web fuzzing.
- Inspeccionar y modificar solicitudes y respuestas HTTP sin procesar utilizando flujos de trabajo de línea de comandos.
- Interactuar con APIs utilizando múltiples métodos HTTP y estructuras de salida JSON.
- Identificar superficies web que no son visibles únicamente a través del navegador.
- Construir un mapa más completo de la infraestructura expuesta de una aplicación objetivo.
Hoja de ruta del curso
- Fuzzing de directorios y archivos: Utiliza
ffufygobusterpara identificar rutas y archivos ocultos. - Fuzzing web extendido (Parámetros y Vhosts): Amplía el descubrimiento hacia parámetros no documentados y hosts virtuales ocultos.
- Fundamentos de la interceptación HTTP: Crea, modifica y analiza tráfico HTTP manualmente con herramientas como
curl. - Interacción y análisis de APIs: Explora APIs de estilo REST, flujos de autenticación y respuestas basadas en JSON.
- Desafío de mapeo de infraestructura web: Aplica tus habilidades de reconocimiento e interceptación para descubrir una superficie web oculta y extraer un token confidencial.
A quién va dirigido este curso
- Estudiantes que inician la fase de seguridad web en su ruta de aprendizaje.
- Penetration testers que deseen fortalecer su disciplina de enumeración.
- Defensores que necesiten validar qué es lo que sus aplicaciones web y APIs exponen externamente.
Resultados
Al finalizar este curso, serás capaz de enumerar activos web ocultos, analizar el comportamiento HTTP con mayor precisión y preparar una base más sólida para probar fallos de autenticación, autorización e inyección.
