Nginx frontend sem security headers obrigatorios

INFRA-16

MediumAchado ConfirmadoInfraestruturaRodada 3

Descricao

Nginx do frontend sem X-Frame-Options, X-Content-Type-Options, HSTS, CSP, Referrer-Policy. Unico header e server_tokens off.

Evidencia

`angular/nginx.conf` (38 linhas) — ausencia de todos os headers de seguranca.

Impacto Tecnico

Frontend embarcavel em iframes (clickjacking). Sem HSTS, downgrade attacks. Sem CSP, XSS com superficie maxima.

Impacto de Negocio

Vetores de ataque web nao mitigados.

Recomendacao

Adicionar bloco de headers. CSP deve incluir dominios Firebase e Meta API.

Arquivos Afetados

angular/nginx.conf

Achados Relacionados

LOW-03Nginx sem security headers

Acoes Relacionadas

ACT-6.3.4Ver acao no plano

{
  "id": "INFRA-16",
  "title": "Nginx frontend sem security headers obrigatorios",
  "severity": "Medium",
  "type": "achado confirmado",
  "category": "infrastructure",
  "description": "Nginx do frontend sem `X-Frame-Options`, `X-Content-Type-Options`, `HSTS`, `CSP`, `Referrer-Policy`. Unico header e `server_tokens off`.",
  "evidence": "`angular/nginx.conf` (38 linhas) — ausencia de todos os headers de seguranca.",
  "technicalImpact": "Frontend embarcavel em iframes (clickjacking). Sem HSTS, downgrade attacks. Sem CSP, XSS com superficie maxima.",
  "businessImpact": "Vetores de ataque web nao mitigados.",
  "recommendation": "Adicionar bloco de headers. CSP deve incluir dominios Firebase e Meta API.",
  "files": [
    "angular/nginx.conf"
  ],
  "pass": 3,
  "relatedActions": [
    "ACT-6.3.4"
  ],
  "relatedFindings": [
    "LOW-03"
  ]
}

Nginx frontend sem security headers obrigatorios

Descricao

Arquivos Afetados

Achados Relacionados

Acoes Relacionadas

Texto Original