Credenciais de teste admin hardcoded

MED-09

MediumAchado ConfirmadoSegurancaRodada 1

Descricao

A senha 1q2w3E* usada como senha admin em seed data, como salt Galileu e como password CargaAdicional. Confirmado pelo usuario que esta em uso em producao.

Evidencia

`AdminPermissionGroupDataSeeder` e `appsettings` com `UserName: admin, Password: 1q2w3E*`. Mesma senha como `Salt` Galileu e `Password` CargaAdicional.

Impacto Tecnico

Conta admin com senha conhecida e publicamente exposta no repositorio.

Impacto de Negocio

Qualquer dev com acesso ao repo pode logar como admin com controle total do sistema.

Recomendacao

Nunca usar senhas hardcoded em seeders. Gerar senha aleatoria no primeiro deploy.

Achados Relacionados

CRIT-03Senha hardcoded da integracao CargaAdicional em appsettings.json

Acoes Relacionadas

ACT-1.1Ver acao no plano

{
  "id": "MED-09",
  "title": "Credenciais de teste admin hardcoded",
  "severity": "Medium",
  "type": "achado confirmado",
  "category": "security",
  "description": "A senha `1q2w3E*` usada como senha admin em seed data, como salt Galileu e como password CargaAdicional. Confirmado pelo usuario que esta em uso em producao.",
  "evidence": "`AdminPermissionGroupDataSeeder` e `appsettings` com `UserName: admin, Password: 1q2w3E*`. Mesma senha como `Salt` Galileu e `Password` CargaAdicional.",
  "technicalImpact": "Conta admin com senha conhecida e publicamente exposta no repositorio.",
  "businessImpact": "Qualquer dev com acesso ao repo pode logar como admin com controle total do sistema.",
  "recommendation": "Nunca usar senhas hardcoded em seeders. Gerar senha aleatoria no primeiro deploy.",
  "files": [],
  "pass": 1,
  "relatedActions": [
    "ACT-1.1"
  ],
  "relatedFindings": [
    "CRIT-03"
  ]
}

Credenciais de teste admin hardcoded

Descricao

Achados Relacionados

Acoes Relacionadas

Texto Original