Skip to content
NeuralSkills
Pruebas

Escritor de Tests de Seguridad

Escribe casos de test enfocados en seguridad — ataques de inyeccion, bypasses de autenticacion y vulnerabilidades de autorizacion.

Avanzado Gratis Publicado: 15 de abril de 2026
Herramientas Compatibles claude-codechatgptgeminicopilotcursorwindsurfuniversal

El Problema

Las vulnerabilidades de seguridad raramente se detectan con tests funcionales. XSS, SQL injection, CSRF, IDOR y bypasses de autenticacion requieren casos de test dirigidos que piensen como un atacante. La IA puede generar payloads de ataque y tests de verificacion que a un pentester le tomarian horas compilar.

El Prompt

Escribe tests enfocados en seguridad para el siguiente feature. Piensa como un pentester — intenta romper la autenticacion, inyectar input malicioso y acceder a datos no autorizados.

FEATURE: [describe el feature]
STACK TECNOLOGICO: [ej. Express + PostgreSQL + JWT]

Genera tests de seguridad para categorias OWASP Top 10:

1. **Inyeccion (A03)** — SQL, NoSQL, inyeccion de comandos
2. **Autenticacion Rota (A07)** — proteccion brute force, session fixation, manipulacion JWT
3. **Control de Acceso Roto (A01)** — IDOR, escalacion de privilegios, forced browsing, CORS
4. **XSS (A03)** — Stored, Reflected y DOM-based XSS
5. **Headers de Seguridad** — Verificar CSP, X-Frame-Options, HSTS

Para cada test: payload de ataque, comportamiento seguro esperado y asercion.

Ejemplo de Salida

describe('Seguridad: SQL Injection', () => {
  const sqlPayloads = ["' OR '1'='1", "'; DROP TABLE users; --"];

  sqlPayloads.forEach(payload => {
    it(`debe rechazar payload de SQL injection: ${payload.slice(0, 30)}...`, async () => {
      const res = await request(app).post('/api/login')
        .send({ email: payload, password: payload });
      expect(res.status).not.toBe(200);
      expect(res.body).not.toHaveProperty('token');
    });
  });
});

describe('Seguridad: IDOR', () => {
  it('debe prevenir que usuario A acceda al perfil de usuario B', async () => {
    const res = await request(app).get('/api/users/user_B_id')
      .set('Authorization', `Bearer ${userAToken}`);
    expect(res.status).toBe(403);
  });
});

Cuando Usar

Antes de que cualquier feature publico llegue a produccion, durante auditorias de seguridad, al agregar autenticacion a una app existente, o despues de un incidente de seguridad.

Tips Pro

  • Usar cheatsheets de testing OWASP — pedir a la IA que referencie la Guia de Testing OWASP para vectores de ataque completos.
  • Testear autorizacion en cada capa — middleware de API, queries de base de datos y rutas de UI deben verificar permisos independientemente.
  • Automatizar con herramientas DAST — complementar tests generados por IA con scans de OWASP ZAP o Burp Suite.
  • Mantener un registro de tests de seguridad — lista central de tests mapeados a categorias OWASP para preparacion de auditorias.