GuardianUnivalle-Benito-Yucra 0.1.69__tar.gz → 0.1.71__tar.gz

{guardianunivalle_benito_yucra-0.1.69 → guardianunivalle_benito_yucra-0.1.71}/GuardianUnivalle_Benito_Yucra/detectores/detector_csrf.py

@@ -1,10 +1,12 @@
-# CSRF defense (versión reforzada)
+# csrf_defense.py
+# GuardianUnivalle_Benito_Yucra/detectores/csrf_defense.py
+
 from __future__ import annotations
 import secrets
 import logging
 import re
 import json
-from typing import List
+from typing import List, Dict, Any
 from urllib.parse import urlparse
 from django.conf import settings
 from django.utils.deprecation import MiddlewareMixin
@@ -21,21 +23,42 @@ CSRF_HEADER_NAMES = ("HTTP_X_CSRFTOKEN", "HTTP_X_CSRF_TOKEN")
 CSRF_COOKIE_NAME = getattr(settings, "CSRF_COOKIE_NAME", "csrftoken")
 POST_FIELD_NAME = "csrfmiddlewaretoken"
 
-# Patrón de Content-Type sospechoso
+# Patrón de Content-Type sospechoso - EXPANDIDO
 SUSPICIOUS_CT_PATTERNS = [
     re.compile(r"text/plain", re.I),
     re.compile(r"application/x-www-form-urlencoded", re.I),
     re.compile(r"multipart/form-data", re.I),
+    re.compile(r"application/json", re.I),
+    re.compile(r"text/html", re.I),  # Agregado para HTML CSRF
 ]
 
-# Parámetros sensibles típicos de CSRF
+# Parámetros sensibles típicos de CSRF - EXPANDIDO
 SENSITIVE_PARAMS = [
-    "password", "csrfmiddlewaretoken", "token", "amount", "transfer", "delete", "update"
+    "password", "csrfmiddlewaretoken", "token", "amount", "transfer", "delete", "update", "action", "email", "username"
 ]
 
+# Campos sensibles: ANALIZAMOS COMPLETAMENTE SIN DESCUENTO PARA ROBUSTEZ MÁXIMA
+SENSITIVE_FIELDS = ["password", "csrfmiddlewaretoken", "token", "auth", "email", "username"]
+
 CSRF_DEFENSE_MIN_SIGNALS = getattr(settings, "CSRF_DEFENSE_MIN_SIGNALS", 1)
 CSRF_DEFENSE_EXCLUDED_API_PREFIXES = getattr(settings, "CSRF_DEFENSE_EXCLUDED_API_PREFIXES", ["/api/"])
 
+# PATRONES EXPANDIDOS PARA ANÁLISIS DE PAYLOAD EN TODOS LOS CAMPOS (SIN DESCUENTO)
+CSRF_PAYLOAD_PATTERNS = [
+    (re.compile(r"<script[^>]*>.*?</script>", re.I | re.S), "Script tag en payload", 0.9),
+    (re.compile(r"javascript\s*:", re.I), "URI javascript: en payload", 0.8),
+    (re.compile(r"http[s]?://[^\s]+", re.I), "URL externa en payload", 0.7),
+    (re.compile(r"eval\s*\(", re.I), "eval() en payload", 1.0),
+    (re.compile(r"document\.cookie", re.I), "Acceso a cookie en payload", 0.9),
+    (re.compile(r"innerHTML\s*=", re.I), "Manipulación DOM innerHTML", 0.8),
+    (re.compile(r"XMLHttpRequest", re.I), "XHR en payload", 0.7),
+    (re.compile(r"fetch\s*\(", re.I), "fetch() en payload", 0.7),
+    (re.compile(r"&#x[0-9a-fA-F]+;", re.I), "Entidades HTML en payload", 0.6),
+    (re.compile(r"%3Cscript", re.I), "Script URL-encoded en payload", 0.8),
+    (re.compile(r"on\w+\s*=", re.I), "Eventos on* en payload", 0.7),
+    (re.compile(r"alert\s*\(", re.I), "alert() en payload (prueba)", 0.5),
+]
+
 def get_client_ip(request):
     x_forwarded_for = request.META.get("HTTP_X_FORWARDED_FOR")
     if x_forwarded_for:
@@ -62,15 +85,15 @@ def origin_matches_host(request) -> bool:
     host = host_header.split(":")[0]
     origin = request.META.get("HTTP_ORIGIN", "")
     referer = request.META.get("HTTP_REFERER", "")
-    origin_host = host_from_header(origin)
-    referer_host = host_from_header(referer)
     # Bloquear obvious javascript: referers
     if any(re.search(r"(javascript:|<script|data:text/html)", h or "", re.I) for h in [origin, referer]):
         return False
-    if origin_host and origin_host == host:
-        return True
-    if referer_host and referer_host == host:
-        return True
+    if origin_host := host_from_header(origin):
+        if origin_host == host:
+            return True
+    if referer_host := host_from_header(referer):
+        if referer_host == host:
+            return True
     if not origin and not referer:
         return True
     return False
@@ -118,6 +141,34 @@ def extract_parameters(request) -> List[str]:
         pass
     return params
 
+# FUNCIÓN ROBUSTA: Analizar payload en TODOS los campos (incluyendo sensibles sin descuento)
+def analyze_payload(value: str) -> float:
+    score = 0.0
+    for patt, desc, weight in CSRF_PAYLOAD_PATTERNS:
+        if patt.search(value):
+            score += weight  # Score full, sin descuento
+    return round(score, 3)
+
+# NUEVA FUNCIÓN: Extraer y analizar query string
+def analyze_query_string(request) -> float:
+    qs = request.META.get("QUERY_STRING", "")
+    if qs:
+        return analyze_payload(qs)
+    return 0.0
+
+# NUEVA FUNCIÓN: Analizar headers adicionales
+def analyze_headers(request) -> List[str]:
+    issues = []
+    ua = request.META.get("HTTP_USER_AGENT", "")
+    if re.search(r"(script|<|eval|bot|crawler)", ua, re.I):
+        issues.append("User-Agent sospechoso (posible automatización/bot)")
+    
+    accept_lang = request.META.get("HTTP_ACCEPT_LANGUAGE", "")
+    if not accept_lang or len(accept_lang) < 2:
+        issues.append("Accept-Language ausente o muy corto (posible bot)")
+    
+    return issues
+
 class CSRFDefenseMiddleware(MiddlewareMixin):
     def process_request(self, request):
         # Excluir APIs JSON si se configuró así
@@ -136,7 +187,7 @@ class CSRFDefenseMiddleware(MiddlewareMixin):
             return None
 
         method = (request.method or "").upper()
-        if method not in STATE_CHANGING_METHODS:
+        if method not in STATE_CHANGING_METHODS:  # CORREGIDO: Agregado "in"
             return None
 
         descripcion: List[str] = []
@@ -174,33 +225,73 @@ class CSRFDefenseMiddleware(MiddlewareMixin):
             if origin and host_from_header(origin) != (request.META.get("HTTP_HOST") or "").split(":")[0]:
                 descripcion.append("JSON POST desde origen externo (posible CSRF)")
 
+        # 7) Análisis ROBUSTO de payload en TODOS los campos (sin descuento)
+        payload_score = 0.0
+        payload_summary: List[Dict[str, Any]] = []
+        try:
+            # Analizar POST
+            if hasattr(request, "POST"):
+                for key, value in request.POST.items():
+                    if isinstance(value, str):
+                        score = analyze_payload(value)
+                        payload_score += score
+                        if score > 0:
+                            payload_summary.append({"field": key, "snippet": value[:300], "score": score})
+            # Analizar JSON
+            if "application/json" in content_type:
+                data = json.loads(request.body.decode("utf-8") or "{}")
+                for key, value in data.items():
+                    if isinstance(value, str):
+                        score = analyze_payload(value)
+                        payload_score += score
+                        if score > 0:
+                            payload_summary.append({"field": key, "snippet": value[:300], "score": score})
+        except Exception as e:
+            logger.debug(f"Error analizando payload: {e}")
+
+        if payload_score > 0:
+            descripcion.append(f"Payload sospechoso detectado (score total: {payload_score})")
+
+        # 8) Análisis de query string
+        qs_score = analyze_query_string(request)
+        if qs_score > 0:
+            descripcion.append(f"Query string sospechosa (score: {qs_score})")
+            payload_score += qs_score
+
+        # 9) Análisis de headers adicionales
+        header_issues = analyze_headers(request)
+        descripcion.extend(header_issues)
+
         # Señales >= umbral => marcar
-        if descripcion and len(descripcion) >= CSRF_DEFENSE_MIN_SIGNALS:
+        total_signals = len(descripcion)
+        if descripcion and total_signals >= CSRF_DEFENSE_MIN_SIGNALS:
             w_csrf = getattr(settings, "CSRF_DEFENSE_WEIGHT", 0.2)
-            s_csrf = w_csrf * len(descripcion)
+            s_csrf = w_csrf * total_signals + payload_score  # Score full sin descuento
             request.csrf_attack_info = {
                 "ip": client_ip,
                 "tipos": ["CSRF"],
                 "descripcion": descripcion,
-                "payload": payload,
+                "payload": json.dumps(payload_summary, ensure_ascii=False)[:1000],
                 "score": s_csrf,
             }
             logger.warning(
-                "CSRF detectado desde IP %s: %s ; path=%s ; Content-Type=%s ; score=%.2f",
+                "CSRF detectado desde IP %s: %s ; path=%s ; Content-Type=%s ; score=%.2f (Ultra-Robust: nada ignorado)",
                 client_ip, descripcion, request.path, content_type, s_csrf
             )
         else:
             if descripcion:
-                logger.debug(f"[CSRFDefense] low-signals ({len(descripcion)}) not marking: {descripcion}")
+                logger.debug(f"[CSRFDefense] low-signals ({total_signals}) not marking: {descripcion}")
 
         return None
 
 """
-CSRF Defense Middleware - Reforzado
-===================================
+CSRF Defense Middleware - Ultra-Robusto (Nada Ignorado)
+=======================================================
 - Detecta múltiples categorías de CSRF: clásico, login, logout, password change, file/action, JSON API.
-- Escanea payloads POST, GET y JSON.
+- Escanea payloads POST, GET, JSON, query string y headers, incluyendo TODOS los campos (sensibles y no) con score full (sin descuento).
 - Detecta parámetros sensibles enviados en GET o JSON desde origen externo.
+- Análisis adicional de User-Agent, Accept-Language, y payloads con patrones expandidos.
 - Scoring configurable y logging detallado.
 - Fácil integración con auditoría XSS/SQLi.
+- Máxima robustez: no ignora nada para detección óptima.
 """

{guardianunivalle_benito_yucra-0.1.69 → guardianunivalle_benito_yucra-0.1.71}/GuardianUnivalle_Benito_Yucra/detectores/detector_sql.py

@@ -8,7 +8,7 @@ from django.utils.deprecation import MiddlewareMixin
 from django.conf import settings
 import urllib.parse
 import html
-from typing import List, Tuple, Dict
+from typing import List, Tuple, Dict, Any
 
 # ----------------------------
 # Configuración del logger
@@ -108,9 +108,23 @@ SQL_PATTERNS: List[Tuple[re.Pattern, str, float]] = [
     # ------------------ Catch‑all aggressive patterns (usar con cuidado) ------------------
     (re.compile(r"(['\"]).*?;\s*(drop|truncate|delete|update|insert)\b", re.I | re.S), "Cadena con terminador y DDL/DML (potencial ataque)", 0.9),
     (re.compile(r"\b(or)\b\s+1\s*=\s*1\b", re.I), "OR 1=1 tautology", 0.85),
+
+    # ---------- NUEVOS PATRONES PARA ROBUSTEZ ----------
+    (re.compile(r"\b(select\s+.*\s+from\s+.*\s+where\s+.*\s+in\s*\()", re.I | re.S), "Subquery anidada (IN subquery)", 0.75),
+    (re.compile(r"\bcase\s+when\s+.*\s+then\s+.*\s+else\b", re.I), "CASE WHEN (blind boolean)", 0.78),
+    (re.compile(r"/\*\!.+\*\//", re.I), "Comentarios condicionales MySQL (/*!...*/)", 0.7),
+    (re.compile(r"\bif\s*\(\s*.*\s*,\s*.*\s*,\s*.*\s*\)", re.I), "IF() MySQL (conditional)", 0.72),
+    (re.compile(r"\bgroup_concat\s*\(", re.I), "GROUP_CONCAT() (exfiltración en error)", 0.8),
 ]
 
-IGNORED_FIELDS = ["password", "csrfmiddlewaretoken", "token", "auth"]
+# Campos sensibles: ANALIZAMOS COMPLETAMENTE SIN DESCUENTO PARA ROBUSTEZ MÁXIMA
+SENSITIVE_FIELDS = ["password", "csrfmiddlewaretoken", "token", "auth", "email", "username"]
+
+DEFAULT_THRESHOLDS = {
+    "HIGH": 1.8,
+    "MEDIUM": 1.0,
+    "LOW": 0.5,
+}
 
 # ----------------------------
 # Obtener IP real del cliente
@@ -124,26 +138,34 @@ def get_client_ip(request):
     return request.META.get("REMOTE_ADDR", "")
 
 # ----------------------------
-# Extraer payload de la solicitud
+# Extraer payload de la solicitud - MEJORADO PARA ANÁLISIS POR CAMPO
 # ----------------------------
-def extract_payload(request):
-    parts = []
+def extract_payload_as_map(request) -> Dict[str, Any]:
     try:
-        if "application/json" in request.META.get("CONTENT_TYPE", ""):
-            data = json.loads(request.body.decode("utf-8") or "{}")
-            parts.append(json.dumps(data))
+        ct = request.META.get("CONTENT_TYPE", "")
+        if "application/json" in ct:
+            raw = request.body.decode("utf-8") or "{}"
+            try:
+                data = json.loads(raw)
+                if isinstance(data, dict):
+                    return data
+                else:
+                    return {"raw": raw}
+            except Exception:
+                return {"raw": raw}
         else:
-            body = request.body.decode("utf-8", errors="ignore")
-            if body:
-                parts.append(body)
+            try:
+                post = request.POST.dict()
+                if post:
+                    return post
+            except Exception:
+                pass
+            raw = request.body.decode("utf-8", errors="ignore")
+            if raw:
+                return {"raw": raw}
     except Exception:
         pass
-
-    qs = request.META.get("QUERY_STRING", "")
-    if qs:
-        parts.append(qs)
-
-    return " ".join(parts)
+    return {}
 
 # ----------------------------
 # Normalización / preprocesamiento
@@ -159,13 +181,12 @@ def normalize_input(s: str) -> str:
         s_dec = html.unescape(s_dec)
     except Exception:
         pass
-    # Reemplazo seguro de secuencias \xNN
     s_dec = re.sub(r"\\x([0-9a-fA-F]{2})", r"\\x\g<1>", s_dec)
     s_dec = re.sub(r"\s+", " ", s_dec)
     return s_dec.strip()
 
 # ----------------------------
-# Detector SQLi
+# Detector SQLi - ROBUSTO SIN DESCUENTO
 # ----------------------------
 def detect_sql_injection(text: str) -> Dict:
     norm = normalize_input(text or "")
@@ -174,7 +195,7 @@ def detect_sql_injection(text: str) -> Dict:
     descriptions = []
     for pattern, desc, weight in SQL_PATTERNS:
         if pattern.search(norm):
-            score += weight
+            score += weight  # Score full, sin descuento
             matches.append((desc, pattern.pattern, weight))
             descriptions.append(desc)
 
@@ -185,14 +206,8 @@ def detect_sql_injection(text: str) -> Dict:
         "sample": norm[:1200],
     }
 
-DEFAULT_THRESHOLDS = {
-    "HIGH": 1.8,
-    "MEDIUM": 1.0,
-    "LOW": 0.5,
-}
-
 # ----------------------------
-# Middleware SQLi
+# Middleware SQLi - ULTRA-ROBUSTO
 # ----------------------------
 class SQLIDefenseMiddleware(MiddlewareMixin):
     def process_request(self, request):
@@ -202,33 +217,65 @@ class SQLIDefenseMiddleware(MiddlewareMixin):
 
         if client_ip in trusted_ips:
             return None
-
         referer = request.META.get("HTTP_REFERER", "")
         host = request.get_host()
         if any(url in referer for url in trusted_urls) or any(url in host for url in trusted_urls):
             return None
-
-        payload = extract_payload(request)
-        result = detect_sql_injection(payload)
-        score = result["score"]
-        descripciones = result["descriptions"]
-
-        if score == 0:
+        # Extraer datos como mapa para análisis por campo
+        data = extract_payload_as_map(request)
+        qs = request.META.get("QUERY_STRING", "")
+        if qs:
+            data["_query_string"] = qs
+        if not data:
+            return None
+        total_score = 0.0
+        all_descriptions = []
+        all_matches = []
+        payload_summary = []
+        # Analizar campo por campo - AHORA SIN DESCUENTO PARA ROBUSTEZ
+        if isinstance(data, dict):
+            for key, value in data.items():
+                if isinstance(value, (dict, list)):
+                    try:
+                        vtext = json.dumps(value, ensure_ascii=False)
+                    except Exception:
+                        vtext = str(value)
+                else:
+                    vtext = str(value or "")
+
+                result = detect_sql_injection(vtext)
+                total_score += result["score"]
+                all_descriptions.extend(result["descriptions"])
+                all_matches.extend(result["matches"])
+
+                if result["score"] > 0:
+                    is_sensitive = isinstance(key, str) and key.lower() in SENSITIVE_FIELDS
+                    payload_summary.append({"field": key, "snippet": vtext[:300], "sensitive": is_sensitive})
+        else:
+            raw = str(data)
+            result = detect_sql_injection(raw)
+            total_score += result["score"]
+            all_descriptions.extend(result["descriptions"])
+            all_matches.extend(result["matches"])
+            if result["score"] > 0:
+                payload_summary.append({"field": "raw", "snippet": raw[:500], "sensitive": False})
+
+        if total_score == 0:
             return None
 
         # Registrar ataque
         logger.warning(
             f"[SQLiDetect] IP={client_ip} Host={host} Referer={referer} "
-            f"Score={score:.2f} Desc={descripciones} Payload={payload[:500]}"
+            f"Score={total_score:.2f} Desc={all_descriptions} Payload={json.dumps(payload_summary, ensure_ascii=False)[:500]}"
         )
 
         # Guardar info en request
         request.sql_attack_info = {
             "ip": client_ip,
             "tipos": ["SQLi"],
-            "descripcion": descripciones,
-            "payload": payload[:1000],
-            "score": round(score, 2),
+            "descripcion": all_descriptions,
+            "payload": json.dumps(payload_summary, ensure_ascii=False)[:1000],
+            "score": round(total_score, 2),
             "url": request.build_absolute_uri(),
         }
 

{guardianunivalle_benito_yucra-0.1.69 → guardianunivalle_benito_yucra-0.1.71}/GuardianUnivalle_Benito_Yucra/detectores/detector_xss.py

@@ -29,11 +29,10 @@ except Exception:
     _BLEACH_AVAILABLE = False
 
 # -------------------------------------------------
-# Patrones XSS con peso (descripcion, peso)
+# Patrones XSS con peso (descripcion, peso) - EXPANDIDOS PARA ROBUSTEZ
 # - pesos mayores = más severo (por ejemplo <script> o javascript:)
-# - esto permite un scoring acumulativo y menos falsos positivos
+# - Agregados patrones para DOM-based, polyglots y evasiones avanzadas
 # -------------------------------------------------
-
 XSS_PATTERNS: List[Tuple[re.Pattern, str, float]] = [
     # ---------- Máxima severidad / ejecución directa ----------
     (re.compile(r"<\s*script\b", re.I), "Etiqueta <script> (directa)", 0.95),
@@ -94,20 +93,30 @@ XSS_PATTERNS: List[Tuple[re.Pattern, str, float]] = [
     # ---------- Heurísticos de baja severidad (informativo) ----------
     (re.compile(r"<\s*form\b", re.I), "Form (posible vector de ataque relacionado)", 0.25),
     (re.compile(r"(onmouseover|onfocus|onmouseenter|onmouseleave)\b", re.I), "Eventos UI (mouseover/focus)", 0.45),
+
+    # ---------- NUEVOS PATRONES PARA ROBUSTEZ ----------
+    (re.compile(r"\binnerHTML\s*=\s*.*[<>\"']", re.I), "Asignación a innerHTML con tags", 0.85),  # DOM-based
+    (re.compile(r"\bdocument\.getElementById\s*\(\s*.*\)\.innerHTML", re.I), "Manipulación DOM innerHTML", 0.80),
+    (re.compile(r"<script[^>]*src\s*=\s*['\"][^'\"]*['\"][^>]*>", re.I), "Script externo (posible carga remota)", 0.75),
+    (re.compile(r"\bXMLHttpRequest\s*\(\s*\)\.open\s*\(\s*['\"](GET|POST)['\"]", re.I), "XHR manipulado (posible exfiltración)", 0.70),
+    (re.compile(r"<\s*link\b[^>]*\bhref\s*=\s*['\"][^'\"]*javascript\s*:", re.I), "Link con href javascript:", 0.78),
+    (re.compile(r"\bwindow\.open\s*\(\s*['\"]*javascript\s*:", re.I), "window.open con javascript:", 0.82),
 ]
 
 # -------------------------------------------------
-# Campos que NO queremos analizar (contraseñas, tokens, etc.)
+# Campos sensibles: NO LOS IGNORAMOS COMPLETAMENTE, PERO LES DAMOS DESCUENTO EN SCORE
+# Para robustez, los analizamos pero reducimos el peso para evitar falsos positivos.
 # -------------------------------------------------
-IGNORED_FIELDS = getattr(settings, "XSS_DEFENSE_IGNORED_FIELDS", ["password", "csrfmiddlewaretoken", "token", "auth"])
+SENSITIVE_FIELDS = ["password", "csrfmiddlewaretoken", "token", "auth"]
+SENSITIVE_DISCOUNT = 0.5  # Multiplicador para campos sensibles
 
 # Umbral por defecto para considerar "alto riesgo" (Auditoria puede bloquear según su lógica)
 XSS_DEFENSE_THRESHOLD = getattr(settings, "XSS_DEFENSE_THRESHOLD", 0.6)
 
-
 # -------------------------------------------------
 # Util: validación / extracción de IP (robusta)
 # -------------------------------------------------
+
 def _is_valid_ip(ip: str) -> bool:
     """Verifica que la cadena sea una IP válida (v4 o v6)."""
     try:
@@ -117,7 +126,6 @@ def _is_valid_ip(ip: str) -> bool:
     except Exception:
         return False
 
-
 def get_client_ip(request) -> str:
     """
     Obtiene la mejor estimación de la IP del cliente:
@@ -143,7 +151,6 @@ def get_client_ip(request) -> str:
     remote = request.META.get("REMOTE_ADDR")
     return remote or ""
 
-
 # -------------------------------------------------
 # Extraer payload pero evitando cabeceras (para reducir falsos positivos)
 # - Devuelve dict si es JSON, o dict con 'raw' para otros cuerpos
@@ -185,15 +192,14 @@ def extract_body_as_map(request) -> Dict[str, Any]:
         pass
     return {}
 
-
 # -------------------------------------------------
 # Analizar un solo valor (string) en busca de XSS usando patrones
 # Devuelve (score, descripciones, matches_patterns)
 # -------------------------------------------------
-def detect_xss_in_value(value: str) -> Tuple[float, List[str], List[str]]:
+def detect_xss_in_value(value: str, is_sensitive: bool = False) -> Tuple[float, List[str], List[str]]:
     """
     Analiza una cadena y devuelve:
-      - score acumulado (sum pesos)
+      - score acumulado (sum pesos, con descuento si es campo sensible)
       - lista de descripciones activadas
       - lista de patrones (regex.pattern) que matchearon
     """
@@ -204,28 +210,26 @@ def detect_xss_in_value(value: str) -> Tuple[float, List[str], List[str]]:
     descripcion = []
     matches = []
 
-    # Si bleach está disponible, podemos "limpiar" y comparar; pero aquí solo detectamos
+    # Si bleach está disponible, sanitizar y comparar para detección adicional
+    if _BLEACH_AVAILABLE:
+        cleaned = bleach.clean(value, strip=True)
+        if cleaned != value:
+            score_total += 0.5  # Penalización por cambios en sanitización
+            descripcion.append("Contenido alterado por sanitización (bleach)")
+
     for patt, msg, weight in XSS_PATTERNS:
         if patt.search(value):
-            score_total += weight
+            adjusted_weight = weight * SENSITIVE_DISCOUNT if is_sensitive else weight
+            score_total += adjusted_weight
             descripcion.append(msg)
             matches.append(patt.pattern)
 
     return round(score_total, 3), descripcion, matches
 
-
 # -------------------------------------------------
-# Middleware principal XSS
+# Middleware principal XSS - MEJORADO PARA ROBUSTEZ
 # -------------------------------------------------
 class XSSDefenseMiddleware(MiddlewareMixin):
-    """
-    Middleware para detección XSS.
-    - Analiza el body (campo por campo) y querystring si aplica.
-    - Ignora campos sensibles (password, token).
-    - No incluye User-Agent/Referer en el texto analizado (evita falsos positivos).
-    - Añade request.xss_attack_info con: ip, tipos, descripcion, payload, score, url.
-    """
-
     def process_request(self, request):
         # 1) IP y exclusiones
         client_ip = get_client_ip(request)
@@ -251,15 +255,12 @@ class XSSDefenseMiddleware(MiddlewareMixin):
         total_score = 0.0
         all_descriptions: List[str] = []
         all_matches: List[str] = []
-        # payload_for_storage: guardamos un resumen/truncado para auditoría
         payload_summary = []
 
-        # 3) Analizar campo por campo (si es dict) o el raw
+        # 3) Analizar campo por campo (si es dict) o el raw - AHORA ANALIZA TODO, CON DESCUENTO PARA SENSIBLES
         if isinstance(data, dict):
             for key, value in data.items():
-                # evitar analizar campos sensibles
-                if isinstance(key, str) and key.lower() in [f.lower() for f in IGNORED_FIELDS]:
-                    continue
+                is_sensitive = isinstance(key, str) and key.lower() in SENSITIVE_FIELDS
 
                 # convertir a string si es otro tipo (list, int...)
                 if isinstance(value, (dict, list)):
@@ -270,20 +271,13 @@ class XSSDefenseMiddleware(MiddlewareMixin):
                 else:
                     vtext = str(value or "")
 
-                # salto rápido: si el valor parece ser un email o password muy corto y sin signos,
-                # las probabilidades de XSS son muy bajas; continúa (reduce falsos positivos).
-                if key.lower() in ("email", "username") and len(vtext) < 256:
-                    # aún así pasar por patrones (no lo ignoramos completamente), pero podemos bajar sensibilidad
-                    pass
-
-                s, descs, matches = detect_xss_in_value(vtext)
+                s, descs, matches = detect_xss_in_value(vtext, is_sensitive)
                 total_score += s
                 all_descriptions.extend(descs)
                 all_matches.extend(matches)
 
                 if s > 0:
-                    # almacenar fragmento del campo para auditoría (truncado)
-                    payload_summary.append({ "field": key, "snippet": vtext[:300] })
+                    payload_summary.append({"field": key, "snippet": vtext[:300], "sensitive": is_sensitive})
 
         else:
             # si no es dict, analizar el raw como texto
@@ -293,7 +287,7 @@ class XSSDefenseMiddleware(MiddlewareMixin):
             all_descriptions.extend(descs)
             all_matches.extend(matches)
             if s > 0:
-                payload_summary.append({"field":"raw","snippet": raw[:500]})
+                payload_summary.append({"field": "raw", "snippet": raw[:500], "sensitive": False})
 
         # 4) si no detectó nada, continuar
         if total_score == 0:
@@ -305,7 +299,7 @@ class XSSDefenseMiddleware(MiddlewareMixin):
         payload_for_request = json.dumps(payload_summary, ensure_ascii=False)[:2000]
 
         logger.warning(
-            "XSS detectado desde IP %s URL=%s Score=%.3f Desc=%s",
+            "XSS detectado desde IP %s URL=%s Score=%.3f Desc=%s (Robust: incluye sensibles con descuento)",
             client_ip,
             url,
             score_rounded,
@@ -320,8 +314,7 @@ class XSSDefenseMiddleware(MiddlewareMixin):
             "payload": payload_for_request,
             "score": score_rounded,
             "url": url,
-        }
-
+        }    
         # 7) NO bloquear aquí — lo hace AuditoriaMiddleware según su política
         return None