Tu WAF ve tráfico malicioso. Nosotros vemos lógica rota.
Un atacante autenticado pidiendo datos de otro usuario parece tráfico legítimo para un WAF. Pero si ese usuario no tiene permisos, es una brecha. El 80% de los ataques ocurren en APIs autenticadas explotando la lógica.
GET /api/invoices/1050 HTTP/1.1
Authorization: Bearer token_usuario_A
HTTP/1.1 200 OK
[!] FALLO CRÍTICO: El Usuario A pudo acceder a la factura #1050 (perteneciente al Usuario B).
Vulnerabbit vs. Escáneres Generalistas
Los escáneres web tradicionales buscan inyecciones SQL que ya nadie comete. Nosotros buscamos fallos de lógica y autorización que causan las brechas modernas.
| Vulnerabbit API | Escáner Web Tradicional | |
|---|---|---|
| Enfoque | Lógica de Negocio (BOLA, IDOR) | Inyecciones Técnicas (XSS, SQLi) |
| Descubrimiento | Encuentra Shadow APIs sin doc | Solo escanea lo que le dices |
| Autenticación | Maneja flujos complejos (OAuth, SSO) | Se rompe con tokens dinámicos |
| GraphQL | ✅ Pruebas Nativas | ❌ Lo trata como texto plano |
Cobertura OWASP API Security Top 10
Vulnerabbit mapea sus pruebas directamente contra el estándar OWASP API Security Top 10 (2023). Cada escaneo valida tu API contra las 10 categorías de riesgo más críticas para interfaces programáticas.
| Categoría OWASP | Cómo lo detectamos |
|---|---|
| API1 - Broken Object Level Authorization (BOLA) | Creamos múltiples usuarios de prueba y verificamos que cada uno solo accede a sus propios recursos. Intercambiamos IDs entre sesiones para detectar fugas de datos cruzados. |
| API2 - Broken Authentication | Probamos fuerza bruta controlada, tokens predecibles, falta de expiración de sesiones y endpoints de login sin rate limiting. |
| API3 - Broken Object Property Level Authorization | Enviamos campos adicionales en requests (mass assignment) para verificar que un usuario no puede modificar propiedades protegidas como roles o precios. |
| API4 - Unrestricted Resource Consumption | Validamos que existan límites de rate limiting, paginación máxima y timeouts adecuados para prevenir ataques de denegación de servicio. |
| API5 - Broken Function Level Authorization | Accedemos a endpoints administrativos con tokens de usuario regular. Detectamos rutas de admin expuestas sin validación de rol. |
| API6 - Unrestricted Access to Sensitive Business Flows | Identificamos flujos de negocio abusables: creación masiva de cuentas, scraping de catálogos y abuso de cupones o referidos sin protección. |
| API7 - Server Side Request Forgery (SSRF) | Inyectamos URLs internas en parámetros que aceptan URLs externas para detectar si tu servidor realiza peticiones a recursos internos controlables. |
| API8 - Security Misconfiguration | Verificamos headers de seguridad, CORS permisivos, verbose error messages, introspección GraphQL habilitada y versiones de servidor expuestas. |
| API9 - Improper Inventory Management | Descubrimos endpoints no documentados, versiones antiguas de la API aún activas y entornos de desarrollo accesibles públicamente (Shadow APIs). |
| API10 - Unsafe Consumption of APIs | Analizamos cómo tu API consume servicios de terceros, verificando validación de respuestas, manejo de redirects y confianza implícita en datos externos. |
Flujo de Escaneo de APIs
Desde el descubrimiento hasta el reporte, nuestro motor de análisis sigue un proceso de cuatro fases diseñado para maximizar la cobertura sin afectar la disponibilidad de tu servicio.
Descubrimiento de Endpoints
Analizamos tu dominio, sitemap, archivos JavaScript, documentación Swagger/OpenAPI y tráfico observable para construir un mapa completo de endpoints. Detectamos rutas no documentadas, versiones antiguas de la API y endpoints internos expuestos accidentalmente.
Configuración de Autenticación
Configuramos los flujos de autenticación (JWT, OAuth 2.0, API Keys, Custom Headers) y creamos sesiones para múltiples roles de usuario. Nuestro motor renueva tokens automáticamente durante el escaneo para mantener sesiones válidas sin intervención manual.
Ejecución de Pruebas
Ejecutamos pruebas contextuales contra cada endpoint: fuzzing de parámetros, intercambio de tokens entre roles, inyección de payloads OWASP y validación de controles de acceso. Respetamos tus límites de rate limiting y excluimos endpoints sensibles que definas previamente.
Reporte y Remediación
Cada hallazgo incluye la request exacta que lo demuestra, el response recibido, la categoría OWASP correspondiente y una guía de remediación específica para tu framework (Express, Django, Spring, Laravel). Los resultados se integran en tu pipeline CI/CD para bloquear despliegues inseguros.
Encuentra tu primera vulnerabilidad lógica en minutos.
No necesitas subir tu documentación Swagger para empezar. Descubrimos tus endpoints automáticamente.