CRITICAL
Broken Authentication
Sistemas de autenticación débiles y vulnerables que permiten acceso no autorizado
Principiante
Modo Reto activo — explora libremente. Activa el Modo Tutorial si necesitas orientación.
Credenciales por defecto (vulnerabilidad):
Vectores de ataque demostrados:
→
Credential Stuffing
Usar credenciales de brechas anteriores (HaveIBeenPwned)
→
Password Spray
Una contraseña común contra muchos usuarios para evitar lockout
→
Enumeración de usuarios
Mensajes de error diferentes para usuario existe vs. no existe
→
Fuerza bruta sin lockout
Sin rate limiting, intentos ilimitados hasta acertar
→
Timing attack
Si bcrypt.compare dura más para hash válido, se confirma existencia
→
Default credentials
admin/admin, admin/admin123, test/test activos en producción
→
MFA bypass
Si el 2FA no es requerido o el código no expira, es bypasseable
→
Session token en URL
Token en query string → logs de servidor → robo pasivo
→
JWT sin expiración
Token válido indefinidamente — sin revocación posible
→
Forgot password IDOR
?token=base64(email) → predecible, sin entropy suficiente
Vulnerabilidades Críticas de Autenticación:
- Contraseñas almacenadas en texto plano en la base de datos
- Credenciales por defecto conocidas (admin/admin123)
- JWT con secreto débil y expuesto en variables de entorno
- Sin límite de intentos de login (permite fuerza bruta)
- Tokens almacenados en localStorage (vulnerable a XSS)
- Sin verificación de email o autenticación de dos factores
- Mensajes de error diferenciados — enumeración de usuarios
- Sin protección timing attack en comparación de contraseñas
- Reset de contraseña predecible (token base64 del email)
- Cuentas de test activas en producción (test@test.com)
Esta aplicación es vulnerable por diseño - Solo para propósitos educativos
© 2025 Aitana Security Lab