14-16 Mar 2026
Voltar ao catalogo

Multiplas rotas Angular sem auth guards

FE-07
HighAchado ConfirmadoFrontendRodada 4

Descricao

Diversas rotas de negocio nao possuem canActivate ou canMatch guards. Apenas rotas de SaaS management e tenant admin possuem guards (TenantGuard, TenantGuardHost). Rotas de ofertas, rotas e dashboard dependem exclusivamente do backend para controle de acesso.

Evidencia
Analise dos modulos de roteamento Angular revela rotas de negocio sem guards de autenticacao.
Impacto Tecnico

Usuarios nao autenticados podem navegar para telas de negocio no frontend. Embora as chamadas de API sejam protegidas pelo backend (quando [Authorize] esta presente), a interface expoe estrutura e informacoes visuais.

Impacto de Negocio

Exposicao de informacoes de layout e estrutura do sistema. Combinado com endpoints sem [Authorize] (SEC2-02, SEC2-08), permite acesso completo a algumas funcionalidades.

Recomendacao

Adicionar AuthGuard global no AppRoutingModule para todas as rotas exceto login e callback.

Arquivos Afetados

angular/src/app/app-routing.module.ts

Achados Relacionados

Acoes Relacionadas

{
  "id": "FE-07",
  "title": "Multiplas rotas Angular sem auth guards",
  "severity": "High",
  "type": "achado confirmado",
  "category": "frontend",
  "description": "Diversas rotas de negocio nao possuem `canActivate` ou `canMatch` guards. Apenas rotas de SaaS management e tenant admin possuem guards (`TenantGuard`, `TenantGuardHost`). Rotas de ofertas, rotas e dashboard dependem exclusivamente do backend para controle de acesso.",
  "evidence": "Analise dos modulos de roteamento Angular revela rotas de negocio sem guards de autenticacao.",
  "technicalImpact": "Usuarios nao autenticados podem navegar para telas de negocio no frontend. Embora as chamadas de API sejam protegidas pelo backend (quando `[Authorize]` esta presente), a interface expoe estrutura e informacoes visuais.",
  "businessImpact": "Exposicao de informacoes de layout e estrutura do sistema. Combinado com endpoints sem `[Authorize]` (SEC2-02, SEC2-08), permite acesso completo a algumas funcionalidades.",
  "recommendation": "Adicionar `AuthGuard` global no `AppRoutingModule` para todas as rotas exceto login e callback.",
  "files": [
    "angular/src/app/app-routing.module.ts"
  ],
  "pass": 4,
  "relatedActions": [
    "ACT-7.2.4"
  ],
  "relatedFindings": [
    "SEC2-02",
    "SEC2-08"
  ]
}