Detección de Vulnerabilidades

Analiza el código donde la entrada del usuario se usa para construir consultas a la base de datos. Busca concatenación sin sanitizar o métodos del ORM susceptibles a inyección. En móvil/escritorio, revisa el uso de SQLite/base de datos local.

Analiza el código donde la entrada del usuario se usa para construir consultas en bases de datos NoSQL (MongoDB, etc.). Busca uso inseguro de operadores ($where, etc.) o construcción de objetos de consulta con datos sin sanitizar. Típicamente del lado del backend.

Analiza el código donde la entrada del usuario pueda pasarse a comandos del sistema (p. ej., exec, system, popen). Busca entradas sin sanitizar usadas en cadenas de comandos. Revisa interacciones con código nativo en móvil/escritorio o librerías del SO.

Analiza el código donde la entrada del usuario se evalúa o ejecuta directamente (p. ej., eval, exec, motores de script) sin validación o sandbox adecuados. Revisa WebViews, carga dinámica de código o scripting embebido en móvil/escritorio/librerías.

Analiza el código donde se deserializan objetos de fuentes no confiables (entrada de usuario, archivos, red) sin validación adecuada, pudiendo llevar a ejecución remota de código (p. ej., pickle, serialización Java/PHP). Puede ocurrir en cliente/servidor.

Analiza código donde la entrada del usuario (URLs, hostnames, rutas) se usa para hacer peticiones HTTP del lado servidor a recursos internos o externos sin validación adecuada. Revisa si apps móvil/escritorio hacen solicitudes basadas en entrada externa.

Analiza código donde la entrada del usuario se incrusta directamente en plantillas del lado servidor sin sanitización, permitiendo potencialmente ejecución de código en el motor de plantillas.

Analiza código o configuraciones del servidor donde la entrada del usuario pueda incluirse en archivos procesados por el servidor web para directivas SSI, permitiendo inclusión de archivos o ejecución de comandos si SSI está habilitado.

Escanea el código para detectar claves API, contraseñas, claves privadas, cadenas de conexión, credenciales por defecto u otros secretos sensibles embebidos.

Analiza código donde la entrada del usuario se usa en rutas de archivo sin sanitizar (lectura, escritura, inclusión), permitiendo acceso a archivos restringidos (LFI/RFI en servidor o acceso local en móvil/escritorio/librerías).

Analiza código del lado cliente donde la entrada del usuario (fragmentos de URL, parámetros, postMessage) construye URLs o rutas para peticiones o navegación, pudiendo llevar a accesos no deseados o redirecciones.

Analiza código que parsea XML. Verifica que el procesamiento de entidades externas esté deshabilitado y si la entrada del usuario puede influir la estructura XML provocando XXE.

Analiza el manejo de subidas de archivos (validaciones en cliente/servidor). Verifica tipos, nombres, tamaños y ubicación de almacenamiento para evitar ejecución de archivos o traversal de rutas.

Analiza endpoints o funciones sensibles sin comprobaciones de autenticación (decoradores, middleware). Revisa flujos de login, manipulación de parámetros o bypass local en móvil/escritorio.

Analiza políticas de contraseña, cierre de sesión, procesos de borrado de cuenta y recuperación por fallos de seguridad. Incluye manejo local de credenciales en escritorio/móvil.

Verifica que los chequeos de autorización (roles, permisos) se apliquen correctamente en servidor. Revisa fallos lógicos que permitan acceso no autorizado a funciones o datos y lógica local en escritorio/móvil.

Analiza funciones que permiten cambios inseguros de roles/permisos o invocar funciones de admin por usuarios de bajo privilegio. Revisa manejo local de privilegios en escritorio/móvil/SO.

En apps multi-tenant, asegura que consultas y operaciones filtren estrictamente por el tenant del usuario autenticado. Si no es multi-tenant, puede no aplicar.

Analiza código donde identificadores controlados por el usuario (IDs en URLs, parámetros) acceden a recursos sin verificar autorización sobre ese recurso específico. Revisa cómo las apps construyen las peticiones.

Analiza registro, modificación de perfil, restablecimiento de contraseña, etc., por fallos lógicos que permitan tomar cuentas (tokens predecibles, falta de verificación). Incluye manejo local de credenciales/tokens.

Analiza la lógica de generación, verificación y gestión de códigos OTP/MFA buscando bypass (rate limiting, predictibilidad, saltos de pasos). Revisa manejo en cliente en escritorio/móvil.

Analiza uso de JWT: verificación de firma (alg 'none', claves débiles), validación de claims (exp, iss, aud) y almacenamiento inseguro (localStorage, almacenamiento móvil/escritorio).

Si se usa SAML, analiza el código: validación de firma, XXE en el parseo, lógica ACS y validación de condiciones/audiencia.

Analiza los flujos OAuth/OIDC: validación de 'state' (CSRF), manejo inseguro de código, problemas del flujo implícito y validación de URIs de redirección. Revisa implementación en cliente.

Analiza apps multi-tenant con IdPs configurables por inquilino: seguridad de configuración (SSRF, redirecciones), parseo (XXE), procesamiento de aserciones (bypass de firma, inyección de claims), provisión y riesgos de ATO por inquilino.

Analiza secuencias comprobar-después-actuar sin bloqueo, operaciones no atómicas y ausencia de restricciones de BD que lleven a estados inconsistentes o bypass. Puede ocurrir en cliente/servidor.

Analiza código donde la entrada del usuario se refleja en HTML/JS sin codificación contextual adecuada (reflejado, almacenado). Revisa WebViews, navegadores embebidos o HTML dinámico en móvil/escritorio.

Analiza JS del lado cliente donde entradas (URL, postMessage) fluyen a sinks (eval, innerHTML, location) sin sanitización (DOM-XSS, Open Redirect). Relevante para WebViews/frameworks JS.

Analiza código donde la entrada del usuario se inserta en cabeceras HTTP sin sanear CR (\r) y LF (\n), permitiendo inyección de cabeceras o división de respuesta.

Analiza cómo la app procesa y confía en cabeceras HTTP controlables por el cliente (Host, X-Forwarded-For, etc.). Busca manipulaciones que permitan bypass de controles, envenenamiento de caché, SSRF o lógicas incorrectas. Valida antes de usar.

Analiza código donde la entrada del usuario determina destinos de redirección sin validación frente a una allow-list. Revisa WebViews/manejadores de esquemas/navegadores embebidos en móvil/escritorio.

Analiza exposición de datos sensibles: detalles del servidor, información de usuario y logs inseguros. Busca APIs/estructuras que devuelvan más datos de los necesarios (objetos completos, claves API, flags internos, PII innecesaria). Revisa almacenamiento y logs locales.

Escanea el código buscando algoritmos débiles (MD5, SHA1, DES), modos inseguros (ECB), comparaciones no constantes, aleatoriedad insegura o ausencia de cifrado/hash adecuados para datos sensibles.

Analiza peticiones que cambian estado: implementación/validación de tokens anti-CSRF, cookies SameSite y cabeceras estándar. Considera CSRF vía deeplinks o WebViews en móvil.

Analiza código y archivos de configuración (Nginx, cloud, Docker, IaC) buscando configuraciones inseguras: modo debug, credenciales por defecto, cabeceras/cookies inseguras, CORS permisivo, errores verbosos o permisos inadecuados. Revisa manifiestos y settings de apps.

Analiza código donde la entrada del usuario construye consultas LDAP sin sanitización. Típicamente del lado del backend.

Analiza código que genera archivos descargables (CSV, XLSX) usando entrada de usuario. Verifica sanitización/escape de entradas que comienzan con (=, +, -, @, ＝).

Analiza código que genera documentos (PDF, DOCX). Busca uso inseguro de entrada que derive en XSS, SSRF, inyección de comandos o exploits de librerías. Puede ocurrir en cliente/servidor.

Analiza operaciones aritméticas sobre números controlados por el usuario sin verificación de límites (C/C++, nativo), pudiendo causar bypass o comportamientos inesperados.

Analiza patrones (merge recursivo, definición por ruta) donde la entrada del usuario puede modificar prototipos globales de objetos (bypass, DoS, RCE). Relevante para WebViews/frameworks JS.

Analiza manejadores WebSocket: validación de entrada, checks de autorización, XSS en mensajes y CSWSH por verificación débil de origen. Revisa manejo en cliente en escritorio/móvil.

Revisa configuraciones de la app/servidor y código relacionado por ajustes de caché inseguros (uso incorrecto de Vary, cache del framework mal configurada o cabeceras de control de caché erróneas) que permitan caché de datos sensibles, envenenamiento o engaño de caché.

Analiza patrones DoS: ReDoS, operaciones costosas basadas en entrada sin límites, agotamiento de recursos (zip bombs) o ataques de complejidad algorítmica. Revisa manejo local de recursos.

Analiza código donde el framework enlaza entrada del usuario a objetos/modelos. Verifica que el filtrado impida establecer propiedades internas/sensibles.

Analiza código donde tipo, formato, longitud o rango de entradas no se valida antes de su uso en la lógica, alterando el flujo, saltando reglas o causando estados inconsistentes.

Analiza código de pagos/carrito/precios. Busca bypass de precios en cliente, validación insegura de ítems/cantidades, problemas de moneda/redondeo, abuso de cupones y condiciones de carrera en la compra inicial.

Analiza la lógica de webhooks de pago (Stripe, PayPal) y gestión del ciclo de vida de suscripciones. Verifica firmas y manejo de eventos relevantes para actualizar estados. Revisa condiciones de carrera y validación insegura del estado de pago.

Analiza funciones que manejan entrada del usuario (strcpy, gets, memcpy) sin comprobación de límites (corrupción de memoria, ejecución de código), especialmente en C/C++ y nativo.

Analiza código (C/C++, nativo) donde punteros se usan tras liberar memoria (crashes, corrupción de datos, ejecución de código).

Analiza intentos de liberar la misma región de memoria dos veces (corrupción de memoria, explotación), común en C/C+/.

Analiza código donde la entrada del usuario se usa directamente como cadena de formato (printf, sprintf), permitiendo lectura/escritura de memoria.

Analiza almacenamiento de datos sensibles (credenciales, PII, tokens) en ubicaciones inseguras (SharedPreferences sin cifrar, almacenamiento externo, logs, BDs inseguras).

Analiza la presencia y eficacia de detección de root/jailbreak, anti-debug y detección de emulador. Verifica si pueden bypassarse fácilmente.

Analiza manejo de esquemas URL personalizados (deeplinks). Revisa validación de parámetros (XSS, Traversal, SQLi), riesgos CSRF o Open Redirects.

Analiza el uso de WebViews: ejecución de JS, puentes (addJavascriptInterface) que expongan funciones nativas y validación del contenido cargado (XSS, contenido no confiable).

Analiza configuración/red en móvil: ATS deshabilitado en iOS, tráfico en claro en Android, falta de pinning o TLS/SSL inseguro.

Analiza lectura/procesado de archivos desde almacenamiento externo o accesible por otras apps. Revisa Traversal, validación de contenido y manejo inseguro que pueda ejecutar código o filtrar datos.

Analiza mecanismos IPC (Intents, Providers, Receivers en Android; XPC en iOS). Revisa componentes mal protegidos, fuga de datos o mensajes maliciosos que disparen acciones no deseadas.

Analiza la autenticación biométrica en móvil. Verifica validación en servidor o si existe bypass en cliente. Asegura mecanismos de fallback.

Analiza contratos inteligentes por reentrancia (llamadas externas reentran antes de completar), causando inconsistencia de estado o drenaje de fondos. Aplica check-effects-interactions.

Analiza contratos por overflow/underflow en operaciones aritméticas (balances, cálculos críticos). Usa librerías de aritmética segura.

Analiza lógica que depende de block.timestamp o block.number para operaciones críticas (desbloqueos, sorteos). Puede ser manipulable por mineros en cierto grado.

Analiza funciones/bucles que consuman gas sin límite causando DoS. Revisa iteraciones sobre arrays grandes o cómputos complejos que excedan el límite de gas del bloque.

Analiza vulnerabilidades donde el resultado depende del orden de minado. Busca escenarios de front-running (DEX, subastas) observando y adelantando transacciones.

Analiza contratos que dependen de oráculos. Revisa cómo se obtiene, valida y usa el dato. Busca manipulación o influencia del oráculo para explotar el contrato.

Analiza el uso de delegatecall. Asegura compatibilidad del layout de almacenamiento del contrato destino y evita usarlo con contratos no confiables (corrupción de estado o ejecución arbitraria).

Analiza funciones por controles de acceso adecuados (onlyOwner, require(msg.sender == autorizado)). Busca funciones sensibles invocables por no autorizados.

Revisión general de la lógica de negocio del contrato para identificar fallos, casos límite o comportamientos no deseados explotables.

Analiza contratos que requieren aleatoriedad. Fuentes on-chain (blockhash, timestamp) pueden ser predecibles o influenciables por mineros. Evítalas para decisiones críticas.

Analiza configuraciones de servidores, proxys y gateways (Nginx, Apache, HAProxy, CloudFront, API Gateway, IaC) por ajustes que permitan HTTP Request Smuggling (parseo ambiguo entre frontend y backend, Content-Length/Transfer-Encoding mal gestionados).

Analiza código en busca de Inclusión de Scripts entre Sitios (XSSi) y Fugas entre Sitios (XS-Leaks). Busca datos sensibles (JSON, CSV, imágenes) devueltos sin el aislamiento adecuado (ej. falta de cabeceras X-Content-Type-Options: nosniff, COOP/COEP) o accesibles vía etiquetas script/frames desde otros orígenes. Revisa canales laterales (tiempos, eventos de error) que puedan filtrar información entre orígenes.

Analiza Infraestructura como Código (IaC) o archivos de configuración para ajustes inseguros de almacenamiento en la nube (ej. buckets S3, Azure Blobs). Busca acceso público, falta de cifrado, falta de logs/versionado o políticas de bucket excesivamente permisivas.

Analiza IaC y configuraciones en la nube para políticas de Gestión de Identidad y Acceso (IAM) excesivamente permisivas. Busca uso de comodines (*), falta de principio de menor privilegio, credenciales IAM harcodeadas o políticas de confianza de asunción de roles inseguras.

Analiza Dockerfiles y manifiestos de Kubernetes. Busca ejecución como root, falta de directivas de usuario, uso de etiquetas 'latest', montajes sensibles, modo privilegiado o falta de límites de recursos.

Analiza Terraform, CloudFormation u otros archivos IaC para mejores prácticas de seguridad. Busca recursos no cifrados, grupos de seguridad abiertos (0.0.0.0/0), falta de backups o ajustes por defecto inseguros.

Analiza el código para identificar si la aplicación usa diferentes analizadores para el mismo formato de datos (ej. JSON, YAML, XML) entre diferentes componentes (ej. frontend vs backend, proxy vs aplicación). Las discrepancias en el análisis pueden ser explotadas para eludir controles de seguridad, llevando a vulnerabilidades como bypass de autenticación, XSS o inyección SQL.

Verifica si el endpoint GraphQL tiene la introspección habilitada en entornos de producción. La introspección permite a los atacantes consultar el esquema completo, revelando todas las consultas, mutaciones, suscripciones, tipos y campos disponibles. Esta fuga de información ayuda significativamente a los atacantes.

Investiga si el endpoint GraphQL permite el batching de consultas, donde múltiples consultas pueden enviarse en una sola petición HTTP. Si no se restringe adecuadamente, los atacantes pueden abusar de esta característica para ejecutar un gran número de consultas complejas simultáneamente, sobrecargando el servidor y causando una Denegación de Servicio (DoS).

Analiza código de pagos/carrito/precios: manipulación de precios del lado del cliente, validación insegura del estado de pago, condiciones de carrera (descuentos/créditos), problemas de moneda/redondeo, validación de cantidad/artículos.

Analiza archivos de prueba (unitarios, integración, e2e) para entender la lógica de negocio, casos límite y posibles brechas de seguridad. Busca pruebas de seguridad comentadas, pruebas para bugs conocidos o datos de prueba que revelen lógica sensible.

Analiza código que interactúa con Modelos de Lenguaje Grande (LLMs). Busca vulnerabilidades de Inyección de Prompt, manejo inseguro de salidas de LLM (XSS vía LLM) o fuga de contexto sensible en los prompts.

Revisa documentación del proyecto y comentarios de código. Las discrepancias entre documentación e implementación a menudo revelan bugs o problemas de seguridad. Los comentarios pueden contener TODOs, advertencias o explicaciones de lógica compleja que sugieren vulnerabilidades.