OWASP Web Top 10

Los usuarios pueden actuar fuera de sus permisos, accediendo a datos de otros usuarios o funcionalidad admin sin verificaciones de autorización.

Datos sensibles expuestos por encriptación débil o faltante — usar algoritmos obsoletos como MD5/SHA1, guardar passwords en texto plano o transmitir datos sin TLS.

Tu aplicación hereda vulnerabilidades de dependencias de terceros — paquetes desactualizados con CVEs conocidos que los atacantes explotan activamente.

Configuraciones por default, CORS abierto, modo debug en producción o mensajes de error detallados exponen tu aplicación a atacantes.

El atacante inserta código malicioso en queries o comandos explotando input de usuario sin sanitizar — inyección SQL, NoSQL y de comandos del sistema.

La arquitectura de la aplicación tiene fallas de seguridad fundamentales — lógica de negocio en el cliente, falta de validación server-side o sin modelado de amenazas.

Mecanismos de autenticación débiles permiten a atacantes comprometer passwords, keys o tokens de sesión — JWT sin expiración, tokens en localStorage o sin MFA.

Aplicaciones que no verifican la integridad de datos, actualizaciones de software o pipelines CI/CD son vulnerables a manipulación — deserialización insegura y updates sin firmar.

Logging insuficiente o faltante de eventos de seguridad como logins fallidos, violaciones de acceso y cambios de datos hace imposible detectar y responder a ataques.

El atacante engaña al servidor para hacer requests a recursos internos — accediendo a metadata de cloud, APIs internas o servicios que no deberían ser alcanzables públicamente.