📋 Briefing Táctico
El Swagger UI de apipruebas.libretamilitar.mil.co estaba completamente público. Lei$ lo usó como mapa de ataque: sin hacer fuzzing obtuvo los 243 endpoints, sus parámetros y el hecho de que todos tenían security: []. Como Asegurador, debes configurar correctamente el Swagger UI para cada entorno.
Configura el Swagger UI para cada entorno
Selecciona la opción de seguridad correcta para Producción, Staging y Desarrollo
🔴 Producción
🟡 Staging / Pruebas
🟢 Desarrollo Local
Producción: Swagger deshabilitado, API docs deshabilitados. Staging: Swagger con auth + IP, endpoints con JWT. Desarrollo: Swagger libre, pero con datos mock — nunca datos reales. Esta configuración habría impedido el incidente. ¡Flag desbloqueada!
👆 Clic para copiar la flag
Recuerda: en producción la documentación API no debe ser pública. En staging necesitas autenticación Y restricción de IP. En desarrollo puedes ser flexible, pero nunca uses datos reales.