保護DataHogo
Enciclopedia de Seguridad/OWASP API Top 10
mediumCWE-799API6:2023

Flujos Sensibles Sin Restricción

Flujos críticos de negocio como registro, reset de password o compras no tienen protección contra bots como CAPTCHA, rate limiting o fingerprinting de dispositivo.

Cómo Funciona

Los flujos sensibles como creación de cuentas, redención de cupones o checkout pueden ser abusados a escala cuando no existen controles anti-automatización. Los atacantes escriben scripts para crear miles de cuentas falsas, hacer fuerza bruta a cupones o acaparar inventario limitado. Sin CAPTCHA, rate limiting o análisis de comportamiento, la API no puede distinguir usuarios legítimos de abuso automatizado. Esto causa pérdidas financieras, manipulación de plataforma y servicio degradado para usuarios reales.

Código Vulnerable
app.post('/api/register', async (req, res) => {
  const { email, password } = req.body;
  const user = await db.users.create({ email, password });
  res.json({ success: true, userId: user.id });
});
Código Seguro
app.post('/api/register', rateLimiter({ max: 5, window: '15m' }),
  async (req, res) => {
    const captchaValid = await verifyCaptcha(req.body.captchaToken);
    if (!captchaValid) return res.status(429).json({ error: 'CAPTCHA failed' });
    const { email, password } = req.body;
    const user = await db.users.create({ email, password });
    res.json({ success: true, userId: user.id });
});

Ejemplo Real

En 2021, bots de scalpers explotaron APIs de retailers sin controles anti-automatización para comprar inventarios enteros de PS5 y GPUs en segundos. Nike, Walmart y Best Buy perdieron millones en confianza del cliente y tuvieron que implementar sistemas de detección de bots.

Cómo Prevenirlo

  • Agrega CAPTCHA (reCAPTCHA v3 o hCaptcha) a flujos sensibles
  • Implementa rate limiting por IP y por cuenta de usuario
  • Usa fingerprinting de dispositivo para detectar clientes automatizados
  • Monitorea patrones anómalos como requests rápidos secuenciales

Tecnologías Afectadas

Node.jsPythonGoJavaPHPC#

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Broken Object Level Authorization (BOLA)

high

Los endpoints de API no verifican que el usuario que hace el request es dueño del recurso al que accede — permitiendo a atacantes acceder a datos de otros usuarios cambiando IDs.

CWE-639API1:2023

Autenticación Rota (API)

high

Los mecanismos de autenticación de la API son débiles o están mal implementados — JWT sin validación adecuada, tokens fuera de cookies httpOnly o sin expiración.

CWE-287API2:2023

Autorización de Propiedades de Objeto Rota

medium

La API permite a usuarios leer o modificar propiedades a las que no deberían tener acceso — mass assignment, exposición excesiva de datos o falta de control de acceso a nivel de campo.

CWE-915API3:2023

Consumo de Recursos Sin Restricción

medium

Endpoints de API sin rate limiting, paginación o límites de recursos — permitiendo a atacantes agotar recursos del servidor, generar costos o extraer datasets grandes.

CWE-770API4:2023