Token de download para export sem binding ao usuario solicitante

SEC2-10

MediumAchado ConfirmadoSegurancaRodada 2

Descricao

Metodos GetListAsExcelFileAsync marcados com [AllowAnonymous], protegidos por token temporario de 30 segundos sem vinculo ao usuario.

Evidencia

`RotasAppService.cs` linhas 225-269: `[AllowAnonymous]` no metodo de export. Token nao armazena ID do usuario.

Impacto Tecnico

Token interceptado pode ser usado por qualquer pessoa para baixar Excel com dados operacionais.

Impacto de Negocio

Exposicao de dados operacionais sensiveis de fretes.

Recomendacao

Vincular token de download ao CurrentUser.Id e validar na execucao.

Arquivos Afetados

aspnet-core/src/cargo_fleet.Application/Rotas/RotasAppService.cs

Achados Relacionados

MED-01AllowAnonymous em endpoints de exportacao

{
  "id": "SEC2-10",
  "title": "Token de download para export sem binding ao usuario solicitante",
  "severity": "Medium",
  "type": "achado confirmado",
  "category": "security",
  "description": "Metodos `GetListAsExcelFileAsync` marcados com `[AllowAnonymous]`, protegidos por token temporario de 30 segundos sem vinculo ao usuario.",
  "evidence": "`RotasAppService.cs` linhas 225-269: `[AllowAnonymous]` no metodo de export. Token nao armazena ID do usuario.",
  "technicalImpact": "Token interceptado pode ser usado por qualquer pessoa para baixar Excel com dados operacionais.",
  "businessImpact": "Exposicao de dados operacionais sensiveis de fretes.",
  "recommendation": "Vincular token de download ao `CurrentUser.Id` e validar na execucao.",
  "files": [
    "aspnet-core/src/cargo_fleet.Application/Rotas/RotasAppService.cs"
  ],
  "pass": 2,
  "relatedFindings": [
    "MED-01"
  ]
}

Token de download para export sem binding ao usuario solicitante

Descricao

Arquivos Afetados

Achados Relacionados

Texto Original