Catalogo JSON Web Services de Liferay accesible
El portal medicinalegal.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.
22 exposiciones identificadas en portales del Estado colombiano. 5 críticas.
APIs sin autenticación, entornos de desarrollo expuestos, intranets accesibles y dominios suplantables por email. Observación pasiva equivalente a navegador.
15
APIs CMS expuestas
0
Entornos dev
0
Intranets accesibles
258/119
Dominios suplantables
Catalogo JSON Web Services de Liferay accesible
El portal medicinalegal.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.
Catalogo JSON Web Services de Liferay accesible
El portal supersociedades.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.
Catalogo JSON Web Services de Liferay accesible
El portal contaduria.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.
Dominio suplantable por email
El dominio supervigilancia.gov.co permite suplantacion de correo electronico (SPF softfail, sin DMARC). Datos de empresas de seguridad privada y personal armado. Informacion sensible de seguridad.
Dominio suplantable por email
El dominio uiaf.gov.co permite suplantacion de correo electronico (SPF softfail, DMARC none). La UIAF maneja los datos MAS sensibles del sistema financiero: reportes de operaciones sospechosas, investigaciones de lavado de activos y financiacion del terrorismo. Proteccion de nivel inteligencia de Estado.
JSON:API Drupal expone 174 tipos de recurso
El portal ansv.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 174 tipos de recurso y 5 cuentas de usuario.
JSON:API Drupal expone 109 tipos de recurso
El portal apccolombia.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 109 tipos de recurso y 5 cuentas de usuario.
JSON:API Drupal expone 553 tipos de recurso
El portal anm.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 553 tipos de recurso y 5 cuentas de usuario.
JSON:API Drupal expone 0 tipos de recurso
El portal ideam.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 0 tipos de recurso.
JSON:API Drupal expone 246 tipos de recurso
El portal minvivienda.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 246 tipos de recurso y 5 cuentas de usuario.
JSON:API Drupal expone 67 tipos de recurso
El portal uiaf.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 67 tipos de recurso y 5 cuentas de usuario.
Catalogo JSON Web Services de Liferay accesible
El portal auditoria.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.
Catalogo JSON Web Services de Liferay accesible
El portal funcionpublica.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.
19 cuentas WordPress expuestas (1 admin)
La API REST de WordPress expone 19 cuentas con nombres reales y slugs de login. Incluye 1 cuentas con privilegios de administracion.
11 cuentas WordPress expuestas (2 admin)
La API REST de WordPress expone 11 cuentas con nombres reales y slugs de login. Incluye 2 cuentas con privilegios de administracion.
7 cuentas WordPress expuestas (6 admin)
La API REST de WordPress expone 7 cuentas con nombres reales y slugs de login. Incluye 6 cuentas con privilegios de administracion.
Dominio suplantable por email
El dominio cne.gov.co permite suplantacion de correo electronico (SPF hardfail, DMARC none). Regulador electoral con datos de financiacion de campanas politicas.
Dominio suplantable por email
El dominio invima.gov.co permite suplantacion de correo electronico (SPF softfail, DMARC none). Registros sanitarios de medicamentos y alimentos. Manipulacion podria poner en riesgo la salud publica.
Dominio suplantable por email
El dominio jep.gov.co permite suplantacion de correo electronico (SPF softfail, DMARC none). La JEP investiga crimenes del conflicto armado. Datos de victimas y comparecientes (exguerrilleros, militares) con proteccion constitucional reforzada del Acuerdo de Paz.
Dominio suplantable por email
El dominio minigualdadyequidad.gov.co permite suplantacion de correo electronico (SPF softfail, sin DMARC). Datos especialmente sensibles de poblaciones vulnerables con proteccion constitucional reforzada.
Dominio suplantable por email
El dominio prosperidadsocial.gov.co permite suplantacion de correo electronico (SPF softfail, DMARC none). Datos de poblacion en extrema pobreza, victimas y adultos mayores vulnerables. Informacion altamente sensible.
1 cuentas WordPress expuestas
La API REST de WordPress expone 1 cuentas con nombres reales y slugs de login.
Todas las observaciones provienen de señales públicas (APIs documentadas, DNS, Certificate Transparency). Sin pruebas de penetración ni técnicas intrusivas.