Hacking de APIs con cURL: requests, headers y payloads

Reciban un saludo. Si quieres investigar y mapear una API de forma rápida y poco intrusiva, no necesitas herramientas complicadas: con cURL y un par de trucos tienes muchísimo. Hoy les enseño a usar cURL para hacer hacking de APIs — requests, headers y payloads—.

Uso ético: prueba APIs solo con autorización o en programas de bug bounty. El acceso no autorizado es un delito.

¿Por qué cURL?

cURL (curl.se) es la herramienta de línea de comandos por excelencia para hablar con APIs. Es rápida, está en todos lados y te da control total sobre cada parte de la petición. Para reconocimiento de APIs es ideal porque es ligera y poco intrusiva: solo envías exactamente lo que quieres.

Lo básico: una petición GET

curl -i https://api.objetivo.com/v1/usuarios

El flag -i te muestra las cabeceras de respuesta, que cuentan muchísimo: servidor, tecnología, políticas, tokens. Empieza siempre mirando los headers.

Cabeceras y autenticación

Con -H añades cabeceras, por ejemplo un token Bearer:

curl -i -H "Authorization: Bearer TOKEN" https://api.objetivo.com/v1/perfil

Enviar datos: POST con payload

curl -i -X POST https://api.objetivo.com/v1/login \
  -H "Content-Type: application/json" \
  -d '{"usuario":"test","password":"test"}'

Con -X cambias el método (POST, PUT, DELETE) y con -d envías el cuerpo. Así puedes probar cómo responde la API a distintas entradas.

Qué buscar al mapear una API

  • Endpoints ocultos y versiones (/v1, /v2, /internal).
  • Métodos permitidos: prueba si un endpoint acepta DELETE o PUT sin control.
  • Errores verbosos que filtran información.
  • Autorización: ¿puedes acceder a recursos de otro usuario cambiando un ID? (eso es BOLA).

Conclusión

cURL es de esas herramientas que, bien usadas, te resuelven gran parte del reconocimiento de una API sin levantar polvo. Aprende a leer las cabeceras y a jugar con métodos y payloads, y tendrás una base sólida para auditar cualquier API. Si quieres repasar lo básico, mira primero qué es una API.

👉 ¿Quieres dominar la seguridad de APIs y el bug bounty? Te espero en los cursos de Academia SecPro. ¡Nos vemos en el próximo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *