Maged-ID calcula su puntuación de seguridad usando un modelo de penalización basado en estándares internacionales. Cada sitio comienza con 100 puntos y se deducen según los hallazgos detectados. La metodología es transparente, reproducible y auditada contra 20+ sitios de referencia.
Framework mundial para las 10 vulnerabilidades web más críticas. Base para nuestros módulos de inyección, XSS y control de acceso.
Referencia para evaluación de headers HTTP de seguridad. Influencia directa en nuestro módulo de headers.
Common Vulnerability Scoring System. Define las penalizaciones por severidad: crítica, alta, media y baja.
Estándar para security.txt. Verificamos si el sitio tiene punto de contacto para reporte de vulnerabilidades.
Cada hallazgo genera una penalización según su severidad, alineada con CVSS v3.1:
| Severidad | CVSS Equivalente | Penalización | Ejemplo |
|---|---|---|---|
| CRÍTICA | 9.0 – 10.0 | -15 puntos | SQL Injection confirmada, archivo .env expuesto |
| ALTA | 7.0 – 8.9 | -8 puntos | CORS con credenciales, HSTS ausente, xmlrpc.php |
| MEDIA | 4.0 – 6.9 | -4 puntos | CSP ausente, X-Frame-Options faltante |
| BAJA | 0.1 – 3.9 | -2 puntos | Referrer-Policy ausente, server type disclosure |
| ADVERTENCIA | Informativa | -1 punto | Permissions-Policy ausente, X-XSS-Protection (deprecated) |
Cada módulo tiene un cap máximo de penalización para evitar que un solo área domine el score:
| Módulo | Cap | Qué analiza |
|---|---|---|
| SSL / TLS | 25 pts | Certificado, protocolo, cifrado, expiración |
| OWASP Active Scan | 25 pts | XSS reflejado, SQL Injection, path traversal, command injection |
| Archivos Expuestos | 20 pts | .env, .git, backups, phpinfo, config, admin panels |
| Headers de Seguridad | 15 pts | HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy |
| CMS / Framework | 15 pts | WordPress (xmlrpc, REST API, readme), Joomla, Drupal |
| JavaScript CVEs | 15 pts | jQuery, Angular, Lodash, Moment.js, Bootstrap con CVEs conocidos |
| CORS | 10 pts | Wildcard, origin reflection, credentials |
| HTTPS Redirect | 10 pts | HTTP→HTTPS, security.txt (RFC 9116) |
| Open Redirect | 10 pts | Parámetros url, redirect, next, return |
| Puertos | 10 pts | FTP, MySQL, PostgreSQL, Redis, MongoDB expuestos |
| Cookies | 8 pts | Flags Secure, HttpOnly, SameSite |
| Métodos HTTP | 5 pts | PUT, DELETE, TRACE, PATCH no autorizados |
| Info del Servidor | 5 pts | Server version, X-Powered-By disclosure |
| DNS | 5 pts | SPF, DKIM, DMARC, CAA records |
| WAF / CDN | 3 pts | Detección de Cloudflare, AWS, Akamai, etc. |
| Email Security | 3 pts | MTA-STS, BIMI, DANE/TLSA |
| Subdominios | 3 pts | Certificate Transparency + subdominios sensibles |
| Score | Grade | Interpretación |
|---|---|---|
| 90 – 100 | A+ | Excelente postura de seguridad. Pocas o ninguna vulnerabilidad detectada. |
| 80 – 89 | A | Buena seguridad. Algunos ajustes menores recomendados. |
| 70 – 79 | B | Seguridad aceptable. Varias mejoras necesarias. |
| 60 – 69 | C | Seguridad insuficiente. Problemas significativos requieren atención. |
| 40 – 59 | D | Seguridad deficiente. Vulnerabilidades importantes detectadas. |
| 0 – 39 | F | Crítico. El sitio tiene exposiciones graves que requieren acción inmediata. |
Cada hallazgo se valida contra un baseline. Por ejemplo:
• SQL Injection: comparamos la respuesta con y sin payload. Solo reportamos si el error aparece exclusivamente con el payload.
• Open Redirect: verificamos que la URL de destino sea realmente el dominio del atacante, no un parámetro de query.
• HTTP Methods: comparamos la respuesta de PUT/DELETE con GET. Si son idénticas, es pass-through de CDN, no aceptación real.
• Archivos Expuestos: verificamos firmas de contenido (no solo HTTP 200) para eliminar catch-all de SPAs.
Nuestros análisis son no destructivos. Solo enviamos solicitudes HTTP estándar. No modificamos, eliminamos ni alteramos ningún recurso del sitio analizado. Los resultados son reproducibles — el mismo sitio en el mismo momento producirá el mismo score.