▌ MÓDULO · PENTESTING IA

OFENSIVA CONTINUA

Agentes ofensivos autónomos · OWASP + lógica de negocio · re-test al cerrar.

CAMPAÑAS LIVE

CRÍTICOS ABIERTOS

MTTR PROMEDIO

14h

-32%

COBERTURA OWASP

100%

RUNS

checkout.cliente-beta.uy
Web · Cliente Beta · 2026-06-20 09:14
1C3H7M12L
RUNNING
api.cliente-alpha.com
API · Cliente Alpha · 2026-06-19 22:01
0C2H5M9L
DONE
app.cliente-gamma.app
Mobile · Cliente Gamma · 2026-06-18 11:30
2C4H8M15L
DONE
api.cliente-delta.app
API · Cliente Delta · —
0C0H0M0L
QUEUED

SEVERIDAD AGREGADA

FINDINGS

CRÍTICOCVSS 9.4IDOR en /api/v1/orders/{id}
ABIERTO
Acceso a órdenes de otros usuarios cambiando el ID en la URL.
▌ FIX: Validar ownership en cada request usando auth.uid().
ALTOCVSS 7.8Token JWT sin expiración
ABIERTO
Los tokens emitidos no expiran y no rotan.
▌ FIX: Setear exp <= 1h y refresh rotation.
ALTOCVSS 7.2CORS abierto a *
RESUELTO
El backend acepta peticiones desde cualquier origen.
▌ FIX: Whitelistear dominios productivos únicamente.
MEDIOCVSS 5.4Falta de rate limiting en /login
ABIERTO
Permite ataques de fuerza bruta.
▌ FIX: Aplicar 5 intentos/min por IP + captcha.
BAJOCVSS 3.1Headers de seguridad faltantes
ABIERTO
Faltan X-Frame-Options y CSP.
▌ FIX: Agregar headers en el reverse proxy.