保護DataHogo
Enciclopedia de Seguridad/OWASP API Top 10
mediumCWE-16API8:2023

Configuración de Seguridad Incorrecta (API)

Las APIs exponen información excesiva a través de CORS abierto, errores verbosos, headers de seguridad faltantes o configuraciones por default sin endurecer.

Cómo Funciona

La configuración de seguridad incorrecta en APIs cubre un amplio rango: headers CORS permisivos que aceptan cualquier origen, respuestas de error verbosas que filtran stack traces y rutas internas, falta de TLS, credenciales admin por default, métodos HTTP innecesarios habilitados y falta de headers de seguridad. Estas configuraciones son resultado de usar defaults del framework en producción. Los atacantes usan scanners automatizados para detectar estos problemas a escala, recolectando inteligencia para ataques más dirigidos.

Código Vulnerable
const app = express();
app.use(cors());
app.use((err, req, res, next) => {
  res.status(500).json({
    error: err.message,
    stack: err.stack,
    query: req.query
  });
});
Código Seguro
const app = express();
app.use(cors({ origin: process.env.ALLOWED_ORIGIN }));
app.use(helmet());
app.use((err, req, res, next) => {
  logger.error({ err, requestId: req.id });
  res.status(500).json({ error: 'Internal server error' });
});

Ejemplo Real

En 2022, Optus (la segunda telecom más grande de Australia) expuso 9.8 millones de registros de clientes a través de una API sin autenticación y públicamente accesible. El endpoint era descubrible porque los mensajes de error revelaban rutas internas y estructura de la API.

Cómo Prevenirlo

  • Restringe CORS solo a orígenes específicos de confianza
  • Retorna mensajes de error genéricos — loguea detalles en el servidor
  • Usa middleware de headers de seguridad como Helmet.js
  • Deshabilita métodos HTTP innecesarios (TRACE, OPTIONS donde no se necesiten)

Tecnologías Afectadas

Node.jsPythonGoJavaPHPC#

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Broken Object Level Authorization (BOLA)

high

Los endpoints de API no verifican que el usuario que hace el request es dueño del recurso al que accede — permitiendo a atacantes acceder a datos de otros usuarios cambiando IDs.

CWE-639API1:2023

Autenticación Rota (API)

high

Los mecanismos de autenticación de la API son débiles o están mal implementados — JWT sin validación adecuada, tokens fuera de cookies httpOnly o sin expiración.

CWE-287API2:2023

Autorización de Propiedades de Objeto Rota

medium

La API permite a usuarios leer o modificar propiedades a las que no deberían tener acceso — mass assignment, exposición excesiva de datos o falta de control de acceso a nivel de campo.

CWE-915API3:2023

Consumo de Recursos Sin Restricción

medium

Endpoints de API sin rate limiting, paginación o límites de recursos — permitiendo a atacantes agotar recursos del servidor, generar costos o extraer datasets grandes.

CWE-770API4:2023