保護DataHogo
Enciclopedia de Seguridad/OWASP API Top 10
highCWE-287API2:2023

Autenticación Rota (API)

Los mecanismos de autenticación de la API son débiles o están mal implementados — JWT sin validación adecuada, tokens fuera de cookies httpOnly o sin expiración.

Cómo Funciona

Los fallos de autenticación de API incluyen no validar firmas JWT, aceptar tokens expirados, usar algoritmos de firma débiles, exponer tokens en URLs, no tener rate limiting en endpoints de auth, y no usar cookies httpOnly. Los atacantes explotan esto forjando tokens, haciendo brute force de credenciales o robando tokens por XSS. Las APIs son especialmente vulnerables porque están diseñadas para acceso programático, facilitando ataques automatizados.

Código Vulnerable
// JWT verification without algorithm check
const decoded = jwt.verify(token, SECRET);
// Accepts any algorithm, including 'none'

// Token in URL
app.get('/api/data?token=eyJhbG...');
Código Seguro
// JWT verification with strict algorithm
const decoded = jwt.verify(token, SECRET, {
  algorithms: ['HS256'],
  maxAge: '1h'
});
// Token from httpOnly cookie only
const token = req.cookies.auth_token;

Ejemplo Real

En 2015, una vulnerabilidad crítica en la librería npm jsonwebtoken permitía a atacantes bypasear verificación JWT usando el algoritmo 'none'. Cualquier app que no restringiera algoritmos explícitamente era vulnerable a bypass de autenticación.

Cómo Prevenirlo

  • Siempre especifica algoritmos JWT permitidos explícitamente
  • Configura expiración de tokens y valídala en cada request
  • Usa cookies httpOnly y secure en vez de headers Authorization cuando sea posible
  • Implementa rate limiting en endpoints de autenticación

Tecnologías Afectadas

Node.jsPythonGoJavaPHPC#

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Broken Object Level Authorization (BOLA)

high

Los endpoints de API no verifican que el usuario que hace el request es dueño del recurso al que accede — permitiendo a atacantes acceder a datos de otros usuarios cambiando IDs.

CWE-639API1:2023

Autorización de Propiedades de Objeto Rota

medium

La API permite a usuarios leer o modificar propiedades a las que no deberían tener acceso — mass assignment, exposición excesiva de datos o falta de control de acceso a nivel de campo.

CWE-915API3:2023

Consumo de Recursos Sin Restricción

medium

Endpoints de API sin rate limiting, paginación o límites de recursos — permitiendo a atacantes agotar recursos del servidor, generar costos o extraer datasets grandes.

CWE-770API4:2023

Autorización de Funciones Rota

high

Endpoints admin o privilegiados accesibles a usuarios regulares — la falta de checks de roles permite escalación de privilegios a funciones administrativas.

CWE-285API5:2023