Hice un pentest básico a mi propia app y lo que encontré me dio vergüenza

Le pedi a un amigo con conocimientos de seguridad que le echara un vistazo a una app mia. Lo que encontro en 30 minutos:

• Un endpoint que devolvía datos de OTROS usuarios si cambias el ID en la URL (IDOR clasico)
• Headers de seguridad no configurados (X-Frame-Options, CSP...)
• Version de las dependencias con CVEs conocidos visible en los headers
• Contraseñas de test en los logs (yo mismo las habia puesto "temporalmente")

Ninguna de estas cosas requeria ser un hacker profesional. Requeria mirar con atencion.

Desde entonces hago este checklist en todos mis proyectos antes de ir a produccion.