▌ PENTESTS

OFENSIVA CONTINUA

Tus campañas activas y hallazgos prioritarios.

CRÍTICO

ALTO

MEDIO

BAJO

HALLAZGOS

CRÍTICOCVSS 9.4IDOR en /api/v1/orders/{id}
ABIERTO
Acceso a órdenes de otros usuarios cambiando el ID en la URL.
▌ FIX: Validar ownership en cada request usando auth.uid().
ALTOCVSS 7.8Token JWT sin expiración
ABIERTO
Los tokens emitidos no expiran y no rotan.
▌ FIX: Setear exp <= 1h y refresh rotation.
ALTOCVSS 7.2CORS abierto a *
RESUELTO
El backend acepta peticiones desde cualquier origen.
▌ FIX: Whitelistear dominios productivos únicamente.
MEDIOCVSS 5.4Falta de rate limiting en /login
ABIERTO
Permite ataques de fuerza bruta.
▌ FIX: Aplicar 5 intentos/min por IP + captcha.
BAJOCVSS 3.1Headers de seguridad faltantes
ABIERTO
Faltan X-Frame-Options y CSP.
▌ FIX: Agregar headers en el reverse proxy.