OWASP API Top 10

Los endpoints de API no verifican que el usuario que hace el request es dueño del recurso al que accede — permitiendo a atacantes acceder a datos de otros usuarios cambiando IDs.

Los mecanismos de autenticación de la API son débiles o están mal implementados — JWT sin validación adecuada, tokens fuera de cookies httpOnly o sin expiración.

La API permite a usuarios leer o modificar propiedades a las que no deberían tener acceso — mass assignment, exposición excesiva de datos o falta de control de acceso a nivel de campo.

Endpoints de API sin rate limiting, paginación o límites de recursos — permitiendo a atacantes agotar recursos del servidor, generar costos o extraer datasets grandes.

Endpoints admin o privilegiados accesibles a usuarios regulares — la falta de checks de roles permite escalación de privilegios a funciones administrativas.

Flujos críticos de negocio como registro, reset de password o compras no tienen protección contra bots como CAPTCHA, rate limiting o fingerprinting de dispositivo.

La API hace fetch a una URL proporcionada por el usuario sin validación, permitiendo a atacantes acceder a servicios internos, endpoints de metadata cloud o redes privadas.

Las APIs exponen información excesiva a través de CORS abierto, errores verbosos, headers de seguridad faltantes o configuraciones por default sin endurecer.

Múltiples versiones de API siguen activas sin documentación ni deprecación, dejando endpoints antiguos con vulnerabilidades conocidas accesibles para atacantes.

Tu API confía ciegamente en respuestas de APIs de terceros sin validación, permitiendo a atacantes explotar servicios upstream para comprometer tu aplicación.