⌘K
ENES
GitHub
playbookPlaybooks de Seguridad~1 min de lecturaActualizado Apr 23, 2026

Test Client IP Spoofing

Objetivo

Determinar si la aplicación o componentes upstream confían en headers controlados por atacante al derivar la IP de cliente.

Supuestos

  • rate limits, logs, allowlists o controles admin pueden depender de la IP de cliente
  • los proxies pueden forwardear información del cliente original
  • la configuración de trust puede ser más amplia de lo previsto

Prerrequisitos

  • una ruta donde la IP de cliente afecte comportamiento o sea observable
  • capacidad de hacer replay de requests con headers custom

Pasos de recon

  1. Encontrá endpoints o logs que expongan la IP de cliente percibida.
  2. Identificá si la app está detrás de proxies o load balancers.
  3. Revisá comportamiento default de trust-proxy del framework si se conoce.

Pasos de exploit / testing

  1. Enviá requests con X-Forwarded-For y headers relacionados crafted.
  2. Observá logs, rate limits o comportamiento de allowlist.
  3. Probá valores multi-hop de header para ver cómo se parsean.
  4. Compará comportamiento a través del edge normal vs paths alternativos si existen.

Señales de validación

  • los logs registran IPs enviadas por atacante
  • rate limits se resetean o aplican mal según valores spoofed
  • restricciones basadas en IP se bypassean
  • servicios distintos discrepan sobre la IP de cliente

Mitigación

  • confiar en forwarding headers solo desde proxies conocidos
  • configurar explícitamente trust boundaries del framework
  • derivar decisiones de seguridad desde una fuente consistente y revisada
  • documentar y testear la cadena de headers esperada

Logging / detección

  • cadenas de forwarding imposibles o malformadas
  • alta rotación de IP de cliente para la misma sesión/cuenta
  • mismatches entre edge logs y app logs

Notas relacionadas

Referencias

  • Fundamental: MDN X-Forwarded-For — https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Forwarded-For
  • Testing / Lab: PortSwigger request smuggling topic — https://portswigger.net/web-security/request-smuggling
  • Fundamental: OWASP WSTG — https://owasp.org/www-project-web-security-testing-guide/latest/

Notas relacionadas

Playbooks de SeguridadBreak JWT ValidationIdentificar si el manejo de JWT es lo suficientemente débil como para aceptar tokens inválidos, viejos, mal scopeados o influenciados por un atacante. Playbooks de SeguridadDetectar la recolección de BloodHoundDetectar la enumeración de Active Directory por colectores de la familia BloodHound (SharpHound / BloodHound-CE y sucesores como SOAPHound) lo suficientemente temprano como para identificar el host de origen, el principal de origen y el método de recolección antes de que el operador convierta el grafo de ataque resultante en una cadena Kerberoast → DCSync → Domain Admin — y con suficiente fidelidad como para sobrevivir a las evasiones realistas de 2026 (LDAP paginado/throttleado, recolección DCOnly, abuso de AD Web Services, colectores custom en memoria). Playbooks de SeguridadDetectar DCSync y acceso a ntds.ditDetectar las dos formas de extracción masiva de credenciales de Active Directory — DCSync (IDLDRSGetNCChanges vía la interfaz RPC DRSUAPI) y extracción offline de ntds.dit (acceso a nivel archivo, abuso de shadow-copy VSS, invocaciones de ntdsutil) — con fidelidad suficiente para identificar el principal origen, las cuentas afectadas y la ventana posterior a la extracción antes de que puedan usarse tickets falsificados (Golden Ticket o Silver Ticket). Playbooks de SeguridadDetect External Recon Scan PipelineDetectar a un operador externo corriendo un pipeline de recon de dos fases Masscan → Nmap-NSE (el playbook ofensivo Run External Recon Scan Pipeline) contra tu perímetro, con fidelidad suficiente para identificar fuente, scope e intención en minutos — antes de que los hallazgos de la fase de profundidad se conviertan en explotación posterior. Playbooks de SeguridadDetectar Kerberoasting y AS-REP RoastingDetectar las dos familias de ataques de credenciales Kerberos en Active Directory (Kerberoasting y AS-REP Roasting) mediante análisis behavioral sobre Event IDs 4768/4769 y telemetría complementaria, con fidelidad suficiente para identificar la cuenta origen, el host atacante y el alcance en minutos, y con durabilidad suficiente para sobrevivir pequeñas variaciones de tradecraft del operador (tipo de cifrado, tasa de requests, selección de cuentas). Playbooks de SeguridadExploit IDORDeterminar si los identificadores de objetos pueden manipularse para acceder a datos o acciones de otro usuario.