🔒 MCP Security Scanner

Servidor MCP (Model Context Protocol) para escaneo de vulnerabilidades en código y dependencias. Genera reportes detallados en español con soluciones priorizadas por criticidad.

✨ Características

📦 Escaneo de dependencias usando npm audit
💻 Análisis de código fuente para detectar patrones vulnerables (XSS, eval, etc.)
🔑 Detección de secrets expuestos (API keys, tokens, contraseñas)
🇪🇸 Reportes en español con soluciones detalladas
📊 Priorización por severidad (Crítico → Alto → Medio → Bajo)
📝 Reportes en Markdown fáciles de leer y versionar

📋 Requisitos

Node.js 18.0.0 o superior
npm 9.0.0 o superior

🚀 Instalación

# Navegar al proyecto
cd mcp-security-scanner

# Instalar dependencias
npm install

📖 Uso

Con MCP Inspector (Recomendado para pruebas)

npm run mcp:inspector

Esto abrirá una interfaz web donde puedes:

Conectar al servidor
Listar herramientas disponibles
Ejecutar escaneos de seguridad

Con Claude Desktop / Windsurf

Agrega esta configuración a tu archivo de configuración MCP:

{
  "mcpServers": {
    "security-scanner": {
      "command": "npx",
      "args": ["tsx", "src/index.ts"],
      "cwd": "/ruta-proyecto/mcp-security-scanner"
    }
  }
}

🛠️ Herramientas Disponibles

`scan_dependencies`

Escanea vulnerabilidades en las dependencias del package.json usando npm audit.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`includeDevDeps`	boolean	❌	Incluir devDependencies (default: true)

Ejemplo:

"Escanea las dependencias del proyecto en D:/mi-proyecto"

`scan_code_vulnerabilities`

Escanea el código fuente buscando patrones de código vulnerable.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`patterns`	string[]	❌	Patrones glob (default: src/*/.{ts,tsx,js,jsx})

Detecta:

XSS (dangerouslySetInnerHTML, innerHTML)
Ejecución de código (eval, new Function)
Almacenamiento inseguro de tokens
Redirecciones abiertas
ReDoS potencial

`scan_secrets`

Detecta secrets expuestos en el código fuente.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`patterns`	string[]	❌	Patrones glob de archivos

Detecta:

API Keys (Stripe, Google, GitHub, Slack)
Contraseñas hardcodeadas
Claves privadas
Connection strings de bases de datos

`generate_security_report`

Genera un reporte completo de seguridad en formato Markdown.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`outputDir`	string	❌	Directorio de salida (default: ./reports)
`projectName`	string	❌	Nombre del proyecto para el reporte

Ejemplo:

"Genera un reporte de seguridad completo para el proyecto frontend-app"

📊 Niveles de Severidad

Nivel	Emoji	Descripción	Acción Requerida
CRÍTICO	🔴	Vulnerabilidad explotable remotamente	Acción inmediata
ALTO	🟠	Riesgo significativo de seguridad	< 24 horas
MEDIO	🟡	Vulnerabilidad con impacto limitado	< 1 semana
BAJO	🟢	Riesgo mínimo	Próximo sprint

📁 Estructura del Proyecto

mcp-security-scanner/
├── src/
│   ├── index.ts              # Punto de entrada
│   ├── server.ts             # Configuración del servidor MCP
│   ├── tools/                # Definición de herramientas
│   │   ├── index.ts
│   │   ├── scan-dependencies.tool.ts
│   │   ├── scan-code.tool.ts
│   │   ├── scan-secrets.tool.ts
│   │   └── generate-report.tool.ts
│   ├── services/             # Lógica de negocio
│   │   ├── index.ts
│   │   ├── dependency-scanner.service.ts
│   │   ├── code-scanner.service.ts
│   │   └── report.service.ts
│   ├── patterns/             # Patrones de detección
│   │   ├── index.ts
│   │   └── code-patterns.ts
│   ├── types/                # Tipos TypeScript
│   │   └── index.ts
│   └── utils/                # Utilidades
│       ├── index.ts
│       ├── constants.ts
│       └── formatters.ts
├── docs/
│   └── GUIA_USO.md           # Guía de uso detallada
├── reports/                  # Reportes generados (gitignore)
├── package.json
├── tsconfig.json
└── README.md

🌿 Ramas del Repositorio

Rama	Contenido
`master`	Código fuente del servidor MCP Security Scanner
`test-vulnerable-app`	Proyecto React de prueba con vulnerabilidades intencionales para validar el MCP

Proyecto de Prueba

La rama test-vulnerable-app contiene una aplicación React + TypeScript con vulnerabilidades intencionales:

📦 Dependencias vulnerables: lodash, axios, minimist, node-fetch con CVEs conocidos
💻 Código vulnerable: XSS, eval(), innerHTML, tokens en localStorage, redirecciones abiertas
🔑 Secrets expuestos: API keys, contraseñas, connection strings

Para usar el proyecto de prueba:

# Cambiar a la rama de prueba
git checkout test-vulnerable-app

# Instalar dependencias
npm install

# Ejecutar el escaneo desde el MCP
# En MCP Inspector usar: projectPath = ruta/al/proyecto

📚 Documentación

Guía de Uso Paso a Paso - Instrucciones detalladas

🔧 Scripts Disponibles

# Iniciar servidor MCP
npm start

# Iniciar con MCP Inspector
npm run mcp:inspector

# Verificar tipos TypeScript
npm run typecheck

# Compilar a JavaScript
npm run build

📄 Licencia

MIT

🔒 MCP Security Scanner

Servidor MCP (Model Context Protocol) para escaneo de vulnerabilidades en código y dependencias. Genera reportes detallados en español con soluciones priorizadas por criticidad.

✨ Características

📦 Escaneo de dependencias usando npm audit
💻 Análisis de código fuente para detectar patrones vulnerables (XSS, eval, etc.)
🔑 Detección de secrets expuestos (API keys, tokens, contraseñas)
🇪🇸 Reportes en español con soluciones detalladas
📊 Priorización por severidad (Crítico → Alto → Medio → Bajo)
📝 Reportes en Markdown fáciles de leer y versionar

📋 Requisitos

Node.js 18.0.0 o superior
npm 9.0.0 o superior

🚀 Instalación

# Navegar al proyecto
cd mcp-security-scanner

# Instalar dependencias
npm install

📖 Uso

Con MCP Inspector (Recomendado para pruebas)

npm run mcp:inspector

Esto abrirá una interfaz web donde puedes:

Conectar al servidor
Listar herramientas disponibles
Ejecutar escaneos de seguridad

Con Claude Desktop / Windsurf

Agrega esta configuración a tu archivo de configuración MCP:

{
  "mcpServers": {
    "security-scanner": {
      "command": "npx",
      "args": ["tsx", "src/index.ts"],
      "cwd": "/ruta-proyecto/mcp-security-scanner"
    }
  }
}

🛠️ Herramientas Disponibles

`scan_dependencies`

Escanea vulnerabilidades en las dependencias del package.json usando npm audit.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`includeDevDeps`	boolean	❌	Incluir devDependencies (default: true)

Ejemplo:

"Escanea las dependencias del proyecto en D:/mi-proyecto"

`scan_code_vulnerabilities`

Escanea el código fuente buscando patrones de código vulnerable.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`patterns`	string[]	❌	Patrones glob (default: src/*/.{ts,tsx,js,jsx})

Detecta:

XSS (dangerouslySetInnerHTML, innerHTML)
Ejecución de código (eval, new Function)
Almacenamiento inseguro de tokens
Redirecciones abiertas
ReDoS potencial

`scan_secrets`

Detecta secrets expuestos en el código fuente.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`patterns`	string[]	❌	Patrones glob de archivos

Detecta:

API Keys (Stripe, Google, GitHub, Slack)
Contraseñas hardcodeadas
Claves privadas
Connection strings de bases de datos

`generate_security_report`

Genera un reporte completo de seguridad en formato Markdown.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`outputDir`	string	❌	Directorio de salida (default: ./reports)
`projectName`	string	❌	Nombre del proyecto para el reporte

Ejemplo:

"Genera un reporte de seguridad completo para el proyecto frontend-app"

📊 Niveles de Severidad

Nivel	Emoji	Descripción	Acción Requerida
CRÍTICO	🔴	Vulnerabilidad explotable remotamente	Acción inmediata
ALTO	🟠	Riesgo significativo de seguridad	< 24 horas
MEDIO	🟡	Vulnerabilidad con impacto limitado	< 1 semana
BAJO	🟢	Riesgo mínimo	Próximo sprint

📁 Estructura del Proyecto

mcp-security-scanner/
├── src/
│   ├── index.ts              # Punto de entrada
│   ├── server.ts             # Configuración del servidor MCP
│   ├── tools/                # Definición de herramientas
│   │   ├── index.ts
│   │   ├── scan-dependencies.tool.ts
│   │   ├── scan-code.tool.ts
│   │   ├── scan-secrets.tool.ts
│   │   └── generate-report.tool.ts
│   ├── services/             # Lógica de negocio
│   │   ├── index.ts
│   │   ├── dependency-scanner.service.ts
│   │   ├── code-scanner.service.ts
│   │   └── report.service.ts
│   ├── patterns/             # Patrones de detección
│   │   ├── index.ts
│   │   └── code-patterns.ts
│   ├── types/                # Tipos TypeScript
│   │   └── index.ts
│   └── utils/                # Utilidades
│       ├── index.ts
│       ├── constants.ts
│       └── formatters.ts
├── docs/
│   └── GUIA_USO.md           # Guía de uso detallada
├── reports/                  # Reportes generados (gitignore)
├── package.json
├── tsconfig.json
└── README.md

🌿 Ramas del Repositorio

Rama	Contenido
`master`	Código fuente del servidor MCP Security Scanner
`test-vulnerable-app`	Proyecto React de prueba con vulnerabilidades intencionales para validar el MCP

Proyecto de Prueba

La rama test-vulnerable-app contiene una aplicación React + TypeScript con vulnerabilidades intencionales:

📦 Dependencias vulnerables: lodash, axios, minimist, node-fetch con CVEs conocidos
💻 Código vulnerable: XSS, eval(), innerHTML, tokens en localStorage, redirecciones abiertas
🔑 Secrets expuestos: API keys, contraseñas, connection strings

Para usar el proyecto de prueba:

# Cambiar a la rama de prueba
git checkout test-vulnerable-app

# Instalar dependencias
npm install

# Ejecutar el escaneo desde el MCP
# En MCP Inspector usar: projectPath = ruta/al/proyecto

📚 Documentación

Guía de Uso Paso a Paso - Instrucciones detalladas

🔧 Scripts Disponibles

# Iniciar servidor MCP
npm start

# Iniciar con MCP Inspector
npm run mcp:inspector

# Verificar tipos TypeScript
npm run typecheck

# Compilar a JavaScript
npm run build

📄 Licencia

MIT