Histórico de ejecuciones de DAST sobre el ambiente de aceptación
Solo existe 1 reporte DAST en este sistema, ejecutado hace 7 meses de forma manual. Los 14 hallazgos identificados siguen abiertos. DAST no está integrado en el pipeline de CI/CD como gate.
| ID | Severidad | Hallazgo | CWE | Estado |
|---|---|---|---|---|
| ZAP-001 | HIGH | SQL Injection (parameter: search) GET /api/conductores?search=... | CWE-89 | Open |
| ZAP-002 | HIGH | Cross-Site Scripting (Stored) — campo 'nombre_completo' POST /api/conductores | CWE-79 | Open |
| ZAP-003 | HIGH | Broken Object Level Authorization (BOLA) GET /api/conductores/{id} | CWE-639 | Open |
| ZAP-004 | MEDIUM | Missing Strict-Transport-Security header * (todas las páginas) | CWE-693 | Open |
| ZAP-005 | MEDIUM | Missing Content-Security-Policy header * (todas las páginas) | CWE-693 | Open |
| ZAP-006 | MEDIUM | Information disclosure — Server header * (todas las páginas) | CWE-200 | Open |
| ZAP-007 | MEDIUM | Weak rate limiting on /auth/login POST /auth/login | CWE-307 | Open |
| ZAP-008 | MEDIUM | Cookies sin atributo SameSite * (todas las páginas) | CWE-1275 | Open |
| ZAP-009 | MEDIUM | Verbose error responses in production * (varios) | CWE-209 | Open |
| ZAP-010 | MEDIUM | X-Powered-By header expone Express * (todas las páginas) | CWE-200 | Open |
| ZAP-011 | MEDIUM | CORS permite cualquier origen (*) GET /v1/health | CWE-942 | Open |
| ZAP-012 | LOW | Versión obsoleta de jQuery (3.5.1) en frontend admin GET /admin/legacy | CWE-1104 | Open |
| ZAP-013 | LOW | robots.txt permite directorios sensibles /robots.txt | CWE-200 | Open |
| ZAP-014 | LOW | Session timeout demasiado largo (7 días) Session lifecycle | CWE-613 | Open |