⌘K
ENES
GitHub
playbookPlaybooks de Seguridad~1 min de lecturaActualizado Apr 23, 2026

Reverse Proxy Misconfig Checklist

Objetivo

Identificar si el comportamiento de proxy y backend crea bugs de trust boundary, confusión de parser, abuso de headers o exposición de routing no intencional.

Supuestos

  • uno o más reverse proxies, CDNs o load balancers están delante de la app
  • headers pueden agregarse, eliminarse o confiarse de forma inconsistente
  • diferencias de parsing entre proxy/backend pueden crear issues de seguridad

Prerrequisitos

  • visibilidad de requests y responses
  • capacidad de enviar headers crafted y observar comportamiento
  • comprensión aproximada de la cadena de request

Pasos de recon

  1. Identificá todos los hops de request si es posible.
  2. Compará comportamiento visible externamente con expectativas del backend.
  3. Registrá headers agregados por proxy y comportamientos de ruta.

Pasos de exploit / testing

  1. Testeá confianza en headers: X-Forwarded-For, X-Real-IP, headers relacionados con host.
  2. Observá si también existe acceso directo al backend.
  3. Verificá diferencias de routing y normalización de path.
  4. Probá ambigüedad de parsing de requests cuando corresponda.
  5. Inspeccioná exposición de health, debug o virtual hosts alternativos.

Señales de validación

  • headers de forwarding controlados por atacante influyen en decisiones de seguridad
  • proxy y backend discrepan sobre interpretación de requests
  • backends son alcanzables directamente fuera del front door previsto
  • paths ocultos o comportamientos de routing aparecen por quirks del proxy

Mitigación

  • definir un límite claro de proxy confiable
  • normalizar o rechazar requests ambiguas
  • restringir exposición directa del backend
  • centralizar y revisar policy de confianza en forwarding/headers
  • patchear y testear la cadena completa de forma consistente

Logging / detección

  • valores inesperados de forwarding headers
  • patrones de request malformados
  • tráfico bypasseando entrypoints esperados
  • inconsistencias entre edge logs y backend logs

Notas relacionadas

Referencias

  • Testing / Lab: PortSwigger request smuggling topic — https://portswigger.net/web-security/request-smuggling
  • Investigación / Deep Dive: PortSwigger Research — https://portswigger.net/research
  • Fundamental: MDN HTTP messages — https://developer.mozilla.org/en-US/docs/Web/HTTP/Guides/Messages

Notas relacionadas

Playbooks de SeguridadBreak JWT ValidationIdentificar si el manejo de JWT es lo suficientemente débil como para aceptar tokens inválidos, viejos, mal scopeados o influenciados por un atacante. Playbooks de SeguridadDetectar la recolección de BloodHoundDetectar la enumeración de Active Directory por colectores de la familia BloodHound (SharpHound / BloodHound-CE y sucesores como SOAPHound) lo suficientemente temprano como para identificar el host de origen, el principal de origen y el método de recolección antes de que el operador convierta el grafo de ataque resultante en una cadena Kerberoast → DCSync → Domain Admin — y con suficiente fidelidad como para sobrevivir a las evasiones realistas de 2026 (LDAP paginado/throttleado, recolección DCOnly, abuso de AD Web Services, colectores custom en memoria). Playbooks de SeguridadDetectar DCSync y acceso a ntds.ditDetectar las dos formas de extracción masiva de credenciales de Active Directory — DCSync (IDLDRSGetNCChanges vía la interfaz RPC DRSUAPI) y extracción offline de ntds.dit (acceso a nivel archivo, abuso de shadow-copy VSS, invocaciones de ntdsutil) — con fidelidad suficiente para identificar el principal origen, las cuentas afectadas y la ventana posterior a la extracción antes de que puedan usarse tickets falsificados (Golden Ticket o Silver Ticket). Playbooks de SeguridadDetect External Recon Scan PipelineDetectar a un operador externo corriendo un pipeline de recon de dos fases Masscan → Nmap-NSE (el playbook ofensivo Run External Recon Scan Pipeline) contra tu perímetro, con fidelidad suficiente para identificar fuente, scope e intención en minutos — antes de que los hallazgos de la fase de profundidad se conviertan en explotación posterior. Playbooks de SeguridadDetectar Kerberoasting y AS-REP RoastingDetectar las dos familias de ataques de credenciales Kerberos en Active Directory (Kerberoasting y AS-REP Roasting) mediante análisis behavioral sobre Event IDs 4768/4769 y telemetría complementaria, con fidelidad suficiente para identificar la cuenta origen, el host atacante y el alcance en minutos, y con durabilidad suficiente para sobrevivir pequeñas variaciones de tradecraft del operador (tipo de cifrado, tasa de requests, selección de cuentas). Playbooks de SeguridadExploit IDORDeterminar si los identificadores de objetos pueden manipularse para acceder a datos o acciones de otro usuario.