¿Qué es un proxy HTTP?

Autor: | Última modificación: 6 de julio de 2022 | Tiempo de Lectura: 4 minutos
Temas en este post:

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes qué es un proxy HTTP? El hacking web es uno de los más comunes en el mundo de las auditorías de ciberseguridad, debido a la gran cantidad de aplicaciones web que se han desarrollado y funcionan actualmente. Por eso, el hacking ético se encuentra en un gran auge y la mayoría de auditorías se realizan sobre este tipo de softwares. En este post, hablaremos acerca de una de las herramientas más útiles a la hora de practicar hacking web ético. A continuación, te explicaremos qué es un proxy HTTP.

¿Qué es un proxy HTTP?

Un proxy web HTTP es una herramienta que permite ver todas las peticiones que se hacen en una aplicación web, debido a que permite interceptarlas, aceptarlas o rechazarlas en tiempo real. Esto permite hacer un análisis completo de todas las interacciones realizadas con una página web y, de este modo, se puede encontrar información para un ciberataque, como directorios ocultos y otro tipo de datos.

Algunos de los proxies web más utilizados en auditorías de ciberseguridad son:

  • Postman.
  • Insomnia.
  • Burp proxy.
  • ZAP.

Postman e Insomnia forman parte de un tipo de proxy enfocado en el desarrollo de aplicaciones. Por eso, para entender qué es un proxy HTTP en ciberseguridad, nos concentraremos en explicarte las características de Burp Proxy y ZAP.

Burp Proxy

Burp Free es uno de los proxies gratuitos más utilizados en el mundo del hacking web ético, aunque también posee una versión de pago, llamada Burp Pro. Esta herramienta permite interceptar y analizar todo el tráfico de una página web, escanear sus vulnerabilidades y manipular cada una de las solicitudes hechas por un usuario a una página web durante una auditoría.

ZAP

OWASP Zed Attack Proxy (ZAP) es una herramienta de código abierto que permite escanear vulnerabilidades en aplicaciones web a través del análisis riguroso de las peticiones realizadas a un servidor. Se caracteriza por ser uno de los proyectos insignia de OWASP y viene instalada con el sistema operativo de ciberseguridad ofensiva, Kali Linux.

Entornos de práctica de hacking web

Ya hemos visto qué es un proxy HTTP, ahora veremos algunos entornos virtuales adecuados para que pongas en práctica estas herramientas.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Burp Proxy y ZAP son softwares que puedes aprender a utilizar en entornos de práctica de hacking web. Se trata de aplicaciones que cuentan intencionalmente con todas las vulnerabilidades web que un investigador debe aprender. Con ellas, se puede poner a prueba el uso de un proxy HTTP y analizar los fallos más comunes que se encuentran a diario al navegar por internet.

Algunos de los entornos de práctica de hacking web en los que puedes practicar con un proxy HTTP son:

  • WebGoat: diseñado por OWASP. Es una página web con vulnerabilidades, diseñada especialmente para que la ataques y observes cómo funcionan estos fallos.
  • DVWA: es un software muy liviano que contiene múltiples aplicaciones web con vulnerabilidades, para que también pongas a prueba técnicas de hacking web.
  • DVNA: esta aplicación web permite probar las diez principales amenazas a las aplicaciones web establecidas por el ranking de OWASP Top 10.

OWASP Top 10

Ya hemos visto qué es un proxy HTTP y qué son los entornos de práctica de hacking web; ahora, te explicaremos otra herramienta muy común que sirve de guía para realizar auditorías y aprender acerca de la ciberseguridad de una aplicación web.

El OWASP Top 10 es un ranking que define cuáles son los diez ciberataques más comúnmente utilizados en contra de las aplicaciones web. Es una lista que se actualizó por última vez en el año 2021 y la ha desarrollado Open Web Application Security Project (OWASP), una organización sin ánimo de lucro, cuyo fin es elevar el nivel de conciencia sobre la ciberseguridad de las aplicaciones web.

Los diez fallos de seguridad que señaló el OWASP Top 10 en su última versión son:

  1. Broken Access Control: permite acceder a privilegios de administración.
  2. Errores criptográficos: permiten desencriptar fácilmente la información por medio de un ordenador intermediario.
  3. Diseño inseguro: errores en el desarrollo web que comprometen la seguridad de los datos de los usuarios o la integridad de la página.
  4. Desconfiguración de seguridad: errores en la configuración de las medidas de seguridad del servidor web.
  5. Componentes con vulnerabilidades desactualizados: algunos componentes presentan fallos de seguridad y deben actualizarse para que funcionen los parches de sus desarrolladores.
  6. Fallas de identificación: fallos de seguridad relacionados con el inicio de sesión de un usuario al conectarse a internet a una página.
  7. Fallos de integridad en los datos: daños en las entradas de una base de datos, que pueden producir vulnerabilidades en el acceso a internet del usuario de la página.
  8. Errores de registro y monitoreo: permite pasar por alto el daño causado al servidor de destino de un ciberataque por no configurar bien el sistema de monitoreo y registro de actividades.
  9. Falsificación de solicitudes del lado del servidor: el atacante abusa, por medio de su conexión a internet, de las funciones de algunos tipos de servidor web, con el fin de acceder o manipular el tráfico web de la víctima.

¿Cómo aprender más?

Ahora sabes qué es un proxy HTTP y cómo se utiliza en el campo del hacking web. Si quieres seguir aprendiendo y especializarte en ciberseguridad, no puedes perderte nuestro Ciberseguridad Full Stack Bootcamp. ¡Inscríbete ya y conviértete en un experto en menos de 7 meses!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado