SDSergio Diaz Delgado·11 nov·SeguridadErrores de seguridad que he cometido (y veo cometer) en APIs RESTSin nombres ni empresas, pero esto paso de verdad: 1. Exponer IDs secuenciales (permite enumerar recursos). Usa UUIDs o cuid. 2. No validar que el usuario autenticado puede acceder al recurso que pide (authorization != authentication) 3. Logs con datos sensibles (emails, tokens)…132
LLL Lawliet·9 nov·SeguridadJWT: lo que nadie te explica sobre los tokens de refrescoLa confusion tipica con JWT: El access token tiene que ser de corta duracion (15 min - 1 hora). Si alguien lo roba, el daño esta limitado. El refresh token es de larga duracion (dias, semanas) y vive en una cookie httpOnly. Su UNICO proposito es obtener nuevos access tokens. E…53
ASArya Stark·3 oct·SeguridadHice un pentest básico a mi propia app y lo que encontré me dio vergüenzaLe pedi a un amigo con conocimientos de seguridad que le echara un vistazo a una app mia. Lo que encontro en 30 minutos: - Un endpoint que devolvía datos de OTROS usuarios si cambias el ID en la URL (IDOR clasico) - Headers de seguridad no configurados (X-Frame-Options, CSP...) …87