Race Conditions y Lógica

Operaciones de lectura-modificacion-escritura en pagos sin transacciones de base de datos permiten a los atacantes explotar ventanas de tiempo y gastar el mismo saldo multiples veces.

Aceptar precios del cliente en vez de buscarlos del lado del servidor permite a los atacantes modificar requests de checkout y comprar productos al precio que elijan.

Feature flags incluidos en el bundle de JavaScript del frontend revelan funciones no lanzadas, configuraciones internas de testing y superficies de ataque potenciales a cualquiera que inspeccione el codigo.

Rutas de desarrollo y testing como /debug, /test, /seed o /api/dev dejadas activas en produccion exponen datos internos, bypassean autenticacion o permiten manipulacion de estado.

Endpoints de actualizacion de perfil que aceptan campos de rol o permisos del body del request permiten a los usuarios promoverse a admin agregando role: 'admin' a su request de actualizacion.

Usar comparacion de strings estandar (=== o ==) para secretos como API keys o tokens permite a los atacantes adivinar valores caracter por caracter midiendo diferencias en el tiempo de respuesta.

Redirigir usuarios a URLs de parametros de query sin validar permite a los atacantes crear links de phishing que parecen venir de tu dominio de confianza.

Pasar el body del request completo directamente a operaciones de creacion o actualizacion de base de datos permite a los atacantes establecer cualquier campo, incluyendo internos como verified, credits o estado de facturacion.