A.8.26 / A.8.29 ISO 27002:2022 + OWASP API Security Top 10
¿Los endpoints críticos de las APIs (autenticación, manifiestos RNDC, documentos DIAN) implementan autenticación fuerte, rate limiting efectivo y rechazan entradas inválidas y ataques de inyección?
Usar el cliente HTTP del equipo (estilo Postman) para ejecutar una batería de pruebas negativas contra los endpoints críticos del API OmniControl: (1) burst de 100 peticiones al endpoint de login en 60 segundos para validar rate limiting; (2) payloads de inyección SQL en parámetros de búsqueda; (3) validación de mensajes de error en respuestas 4xx y 5xx para detectar fugas de stack traces o información interna.
Reporte de pruebas con payloads usados, headers enviados y respuestas obtenidas. Verificar que errores retornen mensajes genéricos sin stack traces. Confirmar que rate limiting funcione correctamente y devuelva HTTP 429.
Las integraciones con DIAN y RNDC son identificadas en la Matriz de Partes Interesadas como Catastróficas (10x7=70). El análisis de contexto señala que 'las APIs amplían la superficie de ataque' como amenaza tecnológica de alto impacto.
- 01¿El endpoint de login resiste un burst de 100 peticiones por minuto?
- 02¿Los payloads de inyección SQL retornan error genérico sin stack trace?
- 03¿El campo 'detail' u 'error' en respuestas 5xx expone tecnología subyacente?
- 04¿Existe header X-RateLimit-Remaining en respuestas exitosas?
- 05¿Las respuestas siguen formato consistente (application/problem+json u OpenAPI)?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.