Voltar ao catalogoMED-01
AllowAnonymous em endpoints de exportacao
MediumAchado ConfirmadoSegurancaRodada 1
Evidencia
`PrintingAppService.cs` e controller de exportacao — presenca de `[AllowAnonymous]` confirmada. Servico de impressao consulta banco sem validacao de identidade.
Impacto Tecnico
Dados operacionais (status de API, registros de ofertas) acessiveis sem autenticacao.
Impacto de Negocio
Exposicao de dados operacionais sensiveis a usuarios nao autenticados.
Recomendacao
Adicionar [Authorize] aos endpoints de exportacao. Se acesso anonimo for necessario, implementar tokens de download com expiracao.
Arquivos Afetados
aspnet-core/src/cargo_fleet.Application/Scryber/PrintingAppService.cs
Achados Relacionados
{
"id": "MED-01",
"title": "AllowAnonymous em endpoints de exportacao",
"severity": "Medium",
"type": "achado confirmado",
"category": "security",
"description": "Endpoints de exportacao (PrintingAppService) possuem `[AllowAnonymous]`, realizando consultas ao banco antes de validacao de identidade.",
"evidence": "`PrintingAppService.cs` e controller de exportacao — presenca de `[AllowAnonymous]` confirmada. Servico de impressao consulta banco sem validacao de identidade.",
"technicalImpact": "Dados operacionais (status de API, registros de ofertas) acessiveis sem autenticacao.",
"businessImpact": "Exposicao de dados operacionais sensiveis a usuarios nao autenticados.",
"recommendation": "Adicionar `[Authorize]` aos endpoints de exportacao. Se acesso anonimo for necessario, implementar tokens de download com expiracao.",
"files": [
"aspnet-core/src/cargo_fleet.Application/Scryber/PrintingAppService.cs"
],
"pass": 1,
"relatedFindings": [
"SEC2-10"
]
}
Descricao
Endpoints de exportacao (PrintingAppService) possuem
[AllowAnonymous], realizando consultas ao banco antes de validacao de identidade.