🔒 MCP Security Scanner

Servidor MCP (Model Context Protocol) para escaneo de vulnerabilidades en código y dependencias. Genera reportes detallados en español con soluciones priorizadas por criticidad.

✨ Características

• 📦 Escaneo de dependencias usando npm audit

• 💻 Análisis de código fuente para detectar patrones vulnerables (XSS, eval, etc.)

• 🔑 Detección de secrets expuestos (API keys, tokens, contraseñas)

• 🇪🇸 Reportes en español con soluciones detalladas

• 📊 Priorización por severidad (Crítico → Alto → Medio → Bajo)

• 📝 Reportes en Markdown fáciles de leer y versionar

📋 Requisitos

• Node.js 18.0.0 o superior

• npm 9.0.0 o superior

🚀 Instalación

# Navegar al proyecto
cd mcp-security-scanner

# Instalar dependencias
npm install

📖 Uso

Con MCP Inspector (Recomendado para pruebas)

npm run mcp:inspector

Esto abrirá una interfaz web donde puedes:

1. Conectar al servidor

2. Listar herramientas disponibles

3. Ejecutar escaneos de seguridad

Con Claude Desktop / Windsurf

Agrega esta configuración a tu archivo de configuración MCP:

{
  "mcpServers": {
    "security-scanner": {
      "command": "npx",
      "args": ["tsx", "src/index.ts"],
      "cwd": "/ruta-proyecto/mcp-security-scanner"
    }
  }
}

🛠️ Herramientas Disponibles

scan_dependencies

Escanea vulnerabilidades en las dependencias del package.json usando npm audit.

Ejemplo:

"Escanea las dependencias del proyecto en D:/mi-proyecto"

scan_code_vulnerabilities

Escanea el código fuente buscando patrones de código vulnerable.

Detecta:

• XSS (dangerouslySetInnerHTML, innerHTML)

• Ejecución de código (eval, new Function)

• Almacenamiento inseguro de tokens

• Redirecciones abiertas

• ReDoS potencial

scan_secrets

Detecta secrets expuestos en el código fuente.

Detecta:

• API Keys (Stripe, Google, GitHub, Slack)

• Contraseñas hardcodeadas

• Claves privadas

• Connection strings de bases de datos

generate_security_report

Genera un reporte completo de seguridad en formato Markdown.

Ejemplo:

"Genera un reporte de seguridad completo para el proyecto frontend-app"

📊 Niveles de Severidad

📁 Estructura del Proyecto

mcp-security-scanner/
├── src/
│   ├── index.ts              # Punto de entrada
│   ├── server.ts             # Configuración del servidor MCP
│   ├── tools/                # Definición de herramientas
│   │   ├── index.ts
│   │   ├── scan-dependencies.tool.ts
│   │   ├── scan-code.tool.ts
│   │   ├── scan-secrets.tool.ts
│   │   └── generate-report.tool.ts
│   ├── services/             # Lógica de negocio
│   │   ├── index.ts
│   │   ├── dependency-scanner.service.ts
│   │   ├── code-scanner.service.ts
│   │   └── report.service.ts
│   ├── patterns/             # Patrones de detección
│   │   ├── index.ts
│   │   └── code-patterns.ts
│   ├── types/                # Tipos TypeScript
│   │   └── index.ts
│   └── utils/                # Utilidades
│       ├── index.ts
│       ├── constants.ts
│       └── formatters.ts
├── docs/
│   └── GUIA_USO.md           # Guía de uso detallada
├── reports/                  # Reportes generados (gitignore)
├── package.json
├── tsconfig.json
└── README.md

🌿 Ramas del Repositorio

Proyecto de Prueba

La rama test-vulnerable-app contiene una aplicación React + TypeScript con vulnerabilidades intencionales:

• 📦 Dependencias vulnerables: lodash, axios, minimist, node-fetch con CVEs conocidos

• 💻 Código vulnerable: XSS, eval(), innerHTML, tokens en localStorage, redirecciones abiertas

• 🔑 Secrets expuestos: API keys, contraseñas, connection strings

Para usar el proyecto de prueba:

# Cambiar a la rama de prueba
git checkout test-vulnerable-app

# Instalar dependencias
npm install

# Ejecutar el escaneo desde el MCP
# En MCP Inspector usar: projectPath = ruta/al/proyecto

📚 Documentación

• Guía de Uso Paso a Paso - Instrucciones detalladas

🔧 Scripts Disponibles

# Iniciar servidor MCP
npm start

# Iniciar con MCP Inspector
npm run mcp:inspector

# Verificar tipos TypeScript
npm run typecheck

# Compilar a JavaScript
npm run build

📄 Licencia

MIT