APIs (Avanzado)

Swagger UI, ReDoc u otras interfaces de documentación de API accesibles públicamente en producción, dándole a los atacantes un mapa interactivo gratuito de cada endpoint, parámetro y método de autenticación.

La introspección de GraphQL permanece habilitada en producción, permitiendo que cualquiera consulte el schema completo y descubra todos los tipos, campos, mutations y sus estructuras de argumentos.

API GraphQL sin límite de profundidad en queries anidadas, permitiendo a los atacantes crear queries profundamente anidadas que agotan los recursos del servidor y causan denegación de servicio.

Endpoints GraphQL que aceptan arrays de operaciones sin límites de tamaño, permitiendo a los atacantes bypassear el rate limiting agrupando miles de requests en una sola llamada HTTP.

Endpoints de API que devuelven objetos completos de la base de datos con campos sensibles en lugar de solo los campos que el cliente realmente necesita, exponiendo hashes de contraseñas, IDs internos, flags de admin y otros datos sensibles.

Endpoints de API que devuelven todos los registros coincidentes sin paginación ni límite, permitiendo a los atacantes volcar tablas completas y causando problemas de memoria/rendimiento bajo carga normal.

Usar API keys de admin o acceso completo para operaciones que solo requieren acceso de lectura, lo que significa que una key comprometida le da a los atacantes mucho más acceso del necesario.