Webhook sin autenticación en n8n
Por qué los webhooks públicos sin autenticación exponen tu workflow a ataques
¿Qué es este problema?
Un webhook sin autenticación es un endpoint HTTP que acepta solicitudes de cualquier persona en internet sin verificar la identidad del remitente. Esto hace que tu workflow sea vulnerable a acceso no autorizado y abuso.
Patrones vulnerables comunes:
•Webhooks GET que activan operaciones de base de datos•Webhooks sin Basic Auth o Header Auth habilitado•Falta de validación de secretos en solicitudes entrantes•Endpoints públicos que activan acciones sensibles
¿Por qué es peligroso?
Acceso no autorizado
Cualquiera puede activar tu workflow simplemente conociendo o adivinando la URL del webhook.
Manipulación de datos
Los atacantes pueden inyectar datos maliciosos en tu workflow, potencialmente corrompiendo bases de datos o activando acciones no deseadas.
Agotamiento de recursos
Los bots pueden inundar tu webhook con solicitudes, consumiendo tus recursos de n8n y potencialmente causando DoS.
Ataques CSRF
Los webhooks GET que realizan acciones son vulnerables a ataques de Cross-Site Request Forgery.
Cómo solucionarlo
- 1
Habilitar Basic Auth
En tu nodo Webhook, configura Authentication a 'Basic Auth' y configura un usuario y contraseña fuertes.
- 2
Usar Header Auth
Configura Header Auth para requerir un header secreto específico (ej: X-API-Key) que solo los clientes de confianza conocen.
- 3
Validar firmas
Para integraciones como GitHub o Stripe, valida la firma del webhook usando el secreto proporcionado.
- 4
Usar POST para acciones
Evita solicitudes GET para webhooks que realizan operaciones de escritura. Usa POST y valida el cuerpo de la solicitud.
Escanea tu workflow ahora
Sube tu archivo JSON de n8n y detecta instantáneamente webhooks sin autenticación y otras vulnerabilidades de seguridad.