HIGH

Sensitive Data Exposure

Exposición inadecuada de información sensible sin controles de acceso apropiados

Principiante

Modo Reto activo — explora libremente. Activa el Modo Tutorial si necesitas orientación.

Endpoint de la API:

Ejemplos de explotación:

Listar todos los usuarios (con contraseñas)

Endpoint que expone todos los usuarios y sus contraseñas en texto plano

/api/users

Usuario con id=1 (admin)

Perfil completo incluyendo hash o contraseña del administrador

/api/users/1

Enumerar IDs de usuario

Comprobar si existen usuarios 2, 3, 4... (enumeración)

/api/users/3

Información del sistema

Endpoint que revela stack tecnológico y versiones vulnerables

/api/system-info

Variables de entorno con secretos

JWT_SECRET, DATABASE_URL, API_KEYS expuestos en /api/env-status

/api/env-status

JWT sin expirar en respuesta

Verificar si los tokens JWT tienen exp claim o duran indefinidamente

/api/auth/login

Datos PII — emails y datos personales sin cifrar

Buscar campos sensibles: email, teléfono, dirección enviados sin cifrado

/api/users

Logs de acceso expuestos

Algunos servidores exponen /logs o /access.log con información interna

/api/logs

Vulnerabilidad Alta

Estos endpoints exponen información sensible sin autenticación ni autorización adecuada. Se revelan contraseñas en texto plano, tokens de sesión, configuración del servidor, variables de entorno y datos personales de usuarios sin cifrado ni protección.

Ver Documentación Completa de la API

Esta aplicación es vulnerable por diseño - Solo para propósitos educativos