MEDIUM

Security Misconfiguration

Configuraciones de seguridad incorrectas que exponen el sistema a ataques

Principiante

Modo Reto activo — explora libremente. Activa el Modo Tutorial si necesitas orientación.

Endpoint de la API:

Ejemplos de explotación:

Información del sistema

Endpoint que revela versiones de software y configuración del servidor

/api/system-info

Variables de entorno

Exposición de variables de entorno con credenciales y tokens

/api/env-status

Headers HTTP — ¿están bien configurados?

Comprobar presencia de X-Frame-Options, HSTS, X-Content-Type-Options

/api/lab/csp

Panel admin expuesto (/admin)

Muchos CMS y frameworks exponen /admin sin autenticación en desarrollo

/api/admin

Debug endpoint (/debug)

Endpoints de debug a menudo habilitados en producción por error

/api/debug

Archivo .env expuesto

El archivo .env con credenciales accesible directamente

/.env

Backup expuesto (backup.sql)

Archivos de backup de base de datos accesibles en el servidor web

/backup.sql

CORS permisivo (Access-Control-Allow-Origin: *)

CORS abierto permite peticiones desde cualquier origen

/api/users

Stack trace en errores

Provocar un error para ver si el servidor devuelve stack traces con rutas internas

/api/lab/sqli?search='

Vulnerabilidad Media

El sistema tiene múltiples problemas de configuración: headers de seguridad débiles, CORS permisivo, información de debugging habilitada en producción, versiones de software expuestas, CSP débil con 'unsafe-inline' y 'unsafe-eval', y variables de entorno accesibles públicamente.

Ver Documentación Completa de la API

Esta aplicación es vulnerable por diseño - Solo para propósitos educativos