Alta
Especificación OpenAPI/Swagger pública en auth.cundinamarca.gov.co
Categoría
Documentación API expuesta
Confianza
verified
Observado
2026-05-03
OWASP
A05:2021 — Security Misconfiguration
Resumen
GET https://auth.cundinamarca.gov.co/openapi.json retorna spec válida (versión 3.1.0, título 'Auth & Access Service', 7 endpoints documentados).
Por qué importa
La spec OpenAPI documenta cada endpoint del API: rutas, métodos, parámetros, schemas. Útil para integradores autorizados pero un atacante obtiene el mapa completo del API sin reconocimiento. Recomendación: protegerlo tras auth o no publicarlo en producción.
Evidencia (URL observada)
https://auth.cundinamarca.gov.co/openapi.jsonVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Cómo mitigar
- •Restringir Swagger/OpenAPI UI por IP/VPN o autenticación.
- •Si la API debe ser pública, mantener la doc minimal y sin esquemas internos.