TOP 100 DE VULNERABILIDADES

Las aplicaciones web siguen siendo uno de los principales objetivos de los atacantes. Cada día aparecen nuevos métodos de explotación, pero muchas brechas provienen de vulnerabilidades conocidas que, por falta de control o actualización, siguen siendo explotables. A continuación, exploraremos las principales categorías de vulnerabilidades web y cómo se manifiestan, con ejemplos prácticos y recomendaciones.

⚡ Inyección de Código

Las vulnerabilidades de inyección son de las más antiguas y peligrosas. Ocurren cuando una aplicación inserta datos no validados directamente en una consulta o instrucción de un intérprete.

1. SQL Injection (SQLi): se aprovecha de una validación deficiente en consultas SQL. Un atacante puede modificar sentencias para acceder, alterar o eliminar datos.
   Ejemplo: ' OR '1'='1 permite iniciar sesión sin credenciales válidas.

2. Cross-Site Scripting (XSS): permite inyectar scripts maliciosos en páginas visitadas por otros usuarios, robando cookies o manipulando el DOM.
   Ejemplo: insertar <script>alert('XSS')</script> en formularios sin filtrar.

3. Cross-Site Request Forgery (CSRF): engaña al usuario autenticado para ejecutar acciones sin su consentimiento, como cambiar contraseñas o realizar pagos.

4. Remote Code Execution (RCE): una de las más críticas, ya que el atacante logra ejecutar código arbitrario en el servidor.

5. Command Injection: el atacante inserta comandos del sistema operativo en formularios o parámetros, logrando control del servidor.
   Ejemplo: ; rm -rf / en un campo vulnerable.

6. XML, LDAP, XPath o HTML Injection: ocurren cuando se manipulan estructuras de datos o consultas XML/LDAP sin validación, accediendo a información restringida o alterando respuestas.

7. Server-Side Template Injection (SSTI): se da al inyectar código en motores de plantillas como Jinja2 o Twig, permitiendo ejecutar comandos del servidor.

🔐 Autenticación y Gestión de Sesiones

Los errores en la autenticación suelen ser el punto débil más explotado, especialmente cuando las sesiones o contraseñas se gestionan mal.

14. Session Fixation: el atacante fuerza al usuario a utilizar una sesión predefinida.

15. Brute Force Attack: intentos repetidos de contraseñas hasta adivinar la correcta.

16. Session Hijacking: el robo de cookies o tokens para suplantar a un usuario.

17. Password Cracking: uso de diccionarios o ataques de fuerza bruta para romper contraseñas cifradas.

18. Weak Password Storage: guardar contraseñas sin hashing o con algoritmos obsoletos como MD5.

19. Insecure Authentication: sistemas sin MFA o sin validación de identidad.

20. Cookie Theft: robo de cookies no marcadas como HttpOnly o Secure.

21. Credential Reuse: usar las mismas credenciales en múltiples servicios, lo que facilita ataques por credential stuffing.

🧱 Exposición de Datos Sensibles

La protección de datos personales y financieros es esencial.

22. Inadecuada Cifrado: uso de algoritmos inseguros o claves débiles.

23. Insecure Direct Object References (IDOR): acceso directo a objetos (como /user?id=5) sin control de permisos.

24. Data Leakage: exposición accidental de archivos o logs con información sensible.

25. Unencrypted Data Storage: almacenar datos en texto plano.

26. Missing Security Headers: falta de cabeceras como Strict-Transport-Security o Content-Security-Policy.

27. Insecure File Handling: subida o descarga de archivos sin validación del tipo o nombre.

⚙️ Configuración de Seguridad Deficiente

Los fallos de configuración son una de las causas más comunes de brechas.

28. Default Passwords: contraseñas por defecto como “admin/admin”.

29. Directory Listing: mostrar el contenido de directorios sin restricciones.

30. Unprotected API Endpoints: APIs sin autenticación o filtrado.

31. Open Ports: servicios innecesarios abiertos al público.

32. Improper Access Controls: permisos mal configurados.

33. Information Disclosure: mensajes de error que revelan rutas o versiones del sistema.

34. Unpatched Software: software obsoleto sin actualizaciones.

35. Misconfigured CORS: permitir orígenes externos inseguros.

36. HTTP Security Headers Misconfiguration: omitir cabeceras que fortalecen la seguridad del cliente.

📦 Control de Acceso Roto

Cuando un usuario puede realizar acciones fuera de su nivel de permiso.

40. Inadequate Authorization: falta de verificación del rol o privilegio.

41. Privilege Escalation: aprovechar fallos para obtener permisos de administrador.

42. Forceful Browsing: acceder a recursos mediante URLs directas sin autorización.

43. Missing Function-Level Access Control: funciones del backend sin protección adecuada.

🧩 Deserialización e Inyección de Objetos

45. Remote Code Execution via Deserialization: manipular objetos serializados para ejecutar código.

46. Data Tampering: modificar datos antes de ser reserializados.

47. Object Injection: insertar objetos maliciosos en flujos de deserialización.

🌐 Problemas en APIs

48. Insecure API Endpoints: APIs sin autenticación ni validación de parámetros.

49. API Key Exposure: claves API expuestas en el frontend o repositorios.

50. Lack of Rate Limiting: permitir infinitas peticiones facilita ataques DDoS.

51. Inadequate Input Validation: datos sin sanitizar enviados a las APIs.

🔒 Comunicación Insegura

52. MITM (Man-in-the-Middle): interceptar tráfico no cifrado.

53. Insufficient TLS: versiones antiguas como TLS 1.0.

54. Insecure SSL/TLS Configuration: certificados expirados o mal configurados.

55. Insecure Protocols: uso de HTTP, FTP o Telnet en lugar de HTTPS/SFTP.

🧠 Vulnerabilidades del Lado del Cliente

56. DOM-based XSS: manipulación del DOM del navegador sin validación.

57. Insecure Cross-Origin Communication: vulnerabilidad en el intercambio de mensajes entre iframes o dominios.

58. Browser Cache Poisoning: inyectar contenido malicioso en cachés.

59. Clickjacking: superponer elementos invisibles para engañar al usuario.

60. HTML5 Security Issues: APIs del navegador mal implementadas o inseguras.

💥 Denegación de Servicio (DoS)

61. DDoS: ataques distribuidos que saturan servidores.

62. Application Layer DoS: sobrecarga de funciones específicas.

63. Resource Exhaustion: consumir todos los recursos del sistema.

64. Slowloris Attack: mantener conexiones abiertas para agotar hilos del servidor.

🔁 Otras Vulnerabilidades Relevantes

66. Server-Side Request Forgery (SSRF): forzar al servidor a realizar solicitudes internas.

67. HTTP Parameter Pollution: manipular parámetros duplicados en URLs.

68. Insecure Redirects: redirecciones no validadas hacia sitios maliciosos.

69. File Inclusion: incluir archivos locales o remotos no seguros.

70. Security Header Bypass: saltarse políticas por mala implementación.

71. Insufficient Logging: no registrar eventos importantes impide detectar intrusiones.

📱 Vulnerabilidades en Aplicaciones Móviles y IoT

76. Insecure Data Storage (Mobile): guardar datos sensibles sin cifrado en dispositivos.

77. Weak Authentication in IoT: contraseñas débiles o fijas en dispositivos conectados.

78. Unauthorized Access to Smart Homes: falta de control en sistemas domóticos.

79. IoT Data Privacy Issues: fuga de datos entre dispositivos inteligentes.

🧩 Errores Lógicos y Negocio

92. Inconsistent Validation: validaciones diferentes en cliente y servidor.

93. Race Conditions: manipular tiempos de ejecución para alterar resultados.

94. Price Manipulation: modificar precios en carritos de compra.

95. Account Enumeration: distinguir usuarios válidos por mensajes de error.

🧨 Vulnerabilidades Zero-Day

98. Unknown Vulnerabilities: fallos aún no descubiertos por fabricantes.

99. Unpatched Vulnerabilities: brechas conocidas sin solución aplicada.

100. Day-Zero Exploits: ataques antes de existir parches oficiales.