VibeSense Security Audit

⚠️ Riesgo: La comparación con === tiene tiempo variable según el punto de fallo, permitiendo a un atacante adivinar tokens o hashes bit a bit mediante análisis de tiempo de respuesta.

Pasos de remediación:

1. Usar crypto.timingSafeEqual() para comparar tokens y hashes.
2. Convertir ambos strings a Buffer antes de comparar.
3. Nunca comparar tokens JWT o API keys con === o ==.
4. Para contraseñas, usar bcrypt.compare() que ya es timing-safe.

Ejemplo de código:

const crypto = require('crypto');
const expected = Buffer.from(process.env.API_TOKEN);
const received = Buffer.from(req.headers['x-api-key'] || '');
if (expected.length !== received.length || !crypto.timingSafeEqual(expected, received)) {
  return res.status(401).json({ error: 'Unauthorized' });
}

🎯 Vector de Pentest: Timing Attack, Token Brute Force

⚠️ Riesgo: Las variables de entorno en frontend pueden exponer secretos, claves de API o configuración interna al cliente y a atacantes.

Pasos de remediación:

1. Solo exponer variables con prefijo público (VITE_PUBLIC_*, REACT_APP_PUBLIC_*).
2. Nunca colocar secretos, tokens privados ni credenciales en el frontend.
3. Mover toda lógica sensible al backend.
4. Auditar el bundle de producción para verificar exposición.
5. Usar un proxy backend para llamadas a APIs externas.

Ejemplo de código:

const apiUrl = import.meta.env.VITE_PUBLIC_API_URL;

🎯 Vector de Pentest: Client-Side Secret Extraction, Bundle Analysis

⚠️ Riesgo: Sin whitelist, el gateway expone automáticamente todas las acciones de todos los servicios registrados, incluyendo acciones internas o de administración.

Pasos de remediación:

1. Definir whitelist explícita con las rutas permitidas.
2. Usar aliases para mapear rutas HTTP a acciones específicas.
3. Marcar acciones internas con visibility: 'protected' o 'private'.
4. Revisar periódicamente qué acciones están expuestas en el gateway.
5. Implementar el hook authorize() para verificar permisos por ruta.

Ejemplo de código:

// Correcto
{
  path: '/api',
  whitelist: [
    'users.login',
    'users.register',
    'products.list'
  ],
  aliases: {
    'POST /login': 'users.login',
    'GET /products': 'products.list'
  }
}

🎯 Vector de Pentest: Unauthorized API Access, Internal Action Exposure

⚠️ Riesgo: Imprimir datos sin sanitizar permite ataques Cross-Site Scripting que pueden robar sesiones o ejecutar código malicioso.

Pasos de remediación:

1. Usar htmlspecialchars() con ENT_QUOTES y charset UTF-8.
2. Usar htmlentities() como alternativa más completa.
3. Implementar una Content Security Policy (CSP) en el servidor.
4. Considerar usar un template engine que escape automáticamente (Twig).
5. Nunca imprimir directamente datos de $_GET, $_POST, $_COOKIE.

Ejemplo de código:

echo htmlspecialchars($var, ENT_QUOTES, 'UTF-8');

🎯 Vector de Pentest: Reflected XSS, Stored XSS, Cookie Theft

⚠️ Riesgo: localStorage es accesible por cualquier JavaScript en la página, incluyendo scripts de terceros y payloads XSS. Un token robado permite impersonar al usuario.

Pasos de remediación:

1. Almacenar tokens en cookies httpOnly + Secure + SameSite=Strict.
2. Si DEBE usar localStorage, implementar una CSP estricta para reducir el riesgo de XSS.
3. Considerar el patrón 'BFF' (Backend for Frontend) para manejo de tokens.
4. Usar tokens de corta duración y refresh tokens rotativos.
5. Nunca almacenar contraseñas o información sensible en localStorage.

Ejemplo de código:

// Correcto — cookie httpOnly (se maneja desde el backend)
res.cookie('token', jwt, {
  httpOnly: true,
  secure: true,
  sameSite: 'strict',
  maxAge: 3600000
});

// Incorrecto
localStorage.setItem('token', jwt);

🎯 Vector de Pentest: XSS Token Theft, Session Hijacking

⚠️ Riesgo: En apps React con Moleculer API Gateway, el token localStorage es el principal vector de ataque post-XSS. Con el token, un atacante puede invocar cualquier action del gateway.

Pasos de remediación:

1. Usar cookies httpOnly + Secure desde el API Gateway de Moleculer.
2. Configurar el gateway para emitir Set-Cookie en lugar de retornar el token en el body.
3. Usar el hook de autorización del gateway para leer el token desde la cookie.
4. Si se usa localStorage por restricciones técnicas, implementar CSP estricta y refresh frecuente.

Ejemplo de código:

// En el API Gateway de Moleculer:
async login(ctx) {
  const token = await ctx.call('auth.generateToken', { userId });
  ctx.meta.$responseHeaders = {
    'Set-Cookie': `token=${token}; HttpOnly; Secure; SameSite=Strict; Path=/`
  };
  return { success: true };
}

🎯 Vector de Pentest: XSS Token Theft, Moleculer Action Abuse

⚠️ Riesgo: Acciones sin autenticación permiten acceso no autorizado a la lógica del sistema.

Pasos de remediación:

1. Validar autenticación verificando ctx.meta.user.
2. Usar middlewares de autorización globales en el broker.
3. Definir visibility: 'protected' o 'private' en acciones sensibles.
4. Separar acciones públicas de privadas explícitamente.

Ejemplo de código:

actions: { myAction: { visibility: 'protected', handler(ctx) { if (!ctx.meta.user) throw new MoleculerError('Unauthorized', 401); }}}

🎯 Vector de Pentest: Unauthorized API Access, Privilege Escalation

⚠️ Riesgo: Asignar contenido sin sanitizar a innerHTML permite DOM-based XSS que ejecuta en el contexto del usuario, pudiendo robar cookies, tokens o realizar acciones en su nombre.

Pasos de remediación:

1. Usar textContent en lugar de innerHTML para texto plano.
2. Si se necesita HTML, sanitizar con DOMPurify antes de asignar.
3. Crear elementos DOM con createElement() y appendChild() en lugar de innerHTML.
4. Implementar una Content Security Policy (CSP) como defensa en profundidad.

Ejemplo de código:

// Correcto — texto plano
element.textContent = userInput;

// Correcto — HTML sanitizado
import DOMPurify from 'dompurify';
element.innerHTML = DOMPurify.sanitize(userInput);

// Incorrecto
element.innerHTML = userInput;

🎯 Vector de Pentest: DOM XSS, Cookie Theft, Session Hijacking

⚠️ Riesgo: eval() ejecuta cualquier JavaScript como código. Con datos externos, un atacante puede ejecutar código arbitrario en el contexto del usuario.

Pasos de remediación:

1. Eliminar completamente el uso de eval().
2. Para JSON, usar JSON.parse() en lugar de eval().
3. Para expresiones matemáticas, usar una librería segura o parsear manualmente.
4. Configurar CSP con 'unsafe-eval' prohibido.
5. Para plantillas dinámicas, usar un motor de templates seguro.

Ejemplo de código:

// Correcto
const data = JSON.parse(userInput);

// Incorrecto
const data = eval(userInput);

🎯 Vector de Pentest: XSS, Code Injection, Data Exfiltration

⚠️ Riesgo: Local File Inclusion permite leer archivos del servidor (/etc/passwd, logs) o ejecutar código. Remote File Inclusion permite cargar y ejecutar código desde un servidor remoto.

Pasos de remediación:

1. Usar un mapa de archivos permitidos (whitelist) en lugar de paths dinámicos.
2. Validar el valor contra una lista fija de opciones permitidas.
3. Nunca incluir rutas que vengan de $_GET, $_POST, o $_COOKIE.
4. Deshabilitar allow_url_include en php.ini.
5. Usar basename() o realpath() y verificar que el resultado esté dentro del directorio permitido.

Ejemplo de código:

$allowed = ['home' => 'home.php', 'about' => 'about.php'];
$page = $allowed[$_GET['page']] ?? 'home.php';
include 'pages/' . $page;

🎯 Vector de Pentest: Local File Inclusion (LFI), Remote File Inclusion (RFI)

⚠️ Riesgo: Sin schema, Moleculer acepta cualquier parámetro sin validar tipo, rango ni presencia. Permite mass assignment, inyección de datos y errores de lógica de negocio.

Pasos de remediación:

1. Definir params schema en cada action con tipos y restricciones.
2. Usar $$strict: true para rechazar campos no definidos en el schema.
3. Usar $$root: true para schemas de tipo primitivo en la raíz.
4. Especificar min/max para strings y números.
5. Marcar campos opcionales con optional: true explícitamente.

Ejemplo de código:

params: {
  id: 'number|positive|integer',
  name: 'string|min:2|max:100',
  email: 'email',
  role: { type: 'enum', values: ['user', 'admin'], optional: true },
  $$strict: true
}

🎯 Vector de Pentest: Mass Assignment, Parameter Pollution, Business Logic Bypass

⚠️ Riesgo: La falta de validación permite inyección de datos, errores de negocio y acceso a campos no autorizados.

Pasos de remediación:

1. Definir schema params en cada action con tipos y restricciones.
2. Usar FastestValidator o Zod para validación estricta.
3. Rechazar parámetros no definidos en el esquema ($$strict: true).
4. Sanitizar datos de entrada antes de procesarlos.

Ejemplo de código:

params: { id: 'number|positive', name: 'string|min:3|max:100', $$strict: true }

🎯 Vector de Pentest: Mass Assignment, Parameter Pollution