Writeups técnicos, metodología y hallazgos reales anonimizados de pentests en APIs, mobile y web.
Submitir un monto negativo en el flujo de créditos no fallaba: hacía que el balance aumentara. Cómo una fórmula mal diseñada permitía inflar saldos arbitrariamente y por qué los escáneres jamás encontrarán esto.
Leer writeup →
El servidor confiaba en el header Origin para construir la URL del magic link enviado por email. Un atacante podía inyectar un dominio propio y recibir el token de autenticación cuando la víctima hacía click. Sin acceso al correo, sin phishing visible, sin malware.
Una app de crédito fintech validaba el OTP en la primera petición del flujo de compra. La segunda petición, la que efectivamente confirmaba la transacción, no requería ni el código ni un identificador de transacción. Cómo encontré que el OTP era cosmético.
Durante un pentest a una fintech mexicana encontré que era posible manipular el token JWT para acceder a préstamos de otros usuarios. Así fue el proceso.
