Voltar ao catalogoSEC2-14
Refresh token com vida util de 180 dias para contexto mobile
MediumAchado ConfirmadoSegurancaRodada 2
Evidencia
`cargo_fleetAuthServerModule.cs` linha 104: `SetRefreshTokenLifetime(TimeSpan.FromDays(180))`. `login.component.ts` linhas 267-281: login por biometria com refresh token.
Impacto Tecnico
Token comprometido valido por 180 dias. Dispositivo roubado mantem acesso.
Impacto de Negocio
Acesso prolongado a dados sensiveis de fretes apos comprometimento.
Recomendacao
Reduzir para 30 dias. Implementar endpoint de revogacao forcada.
Arquivos Afetados
aspnet-core/src/cargo_fleet.AuthServer/cargo_fleetAuthServerModule.csangular/src/app/login/login.component.ts
Achados Relacionados
Acoes Relacionadas
{
"id": "SEC2-14",
"title": "Refresh token com vida util de 180 dias para contexto mobile",
"severity": "Medium",
"type": "achado confirmado",
"category": "security",
"description": "`SetRefreshTokenLifetime(TimeSpan.FromDays(180))` define 6 meses de vida util. Janela de comprometimento de 180 dias por dispositivo.",
"evidence": "`cargo_fleetAuthServerModule.cs` linha 104: `SetRefreshTokenLifetime(TimeSpan.FromDays(180))`. `login.component.ts` linhas 267-281: login por biometria com refresh token.",
"technicalImpact": "Token comprometido valido por 180 dias. Dispositivo roubado mantem acesso.",
"businessImpact": "Acesso prolongado a dados sensiveis de fretes apos comprometimento.",
"recommendation": "Reduzir para 30 dias. Implementar endpoint de revogacao forcada.",
"files": [
"aspnet-core/src/cargo_fleet.AuthServer/cargo_fleetAuthServerModule.cs",
"angular/src/app/login/login.component.ts"
],
"pass": 2,
"relatedActions": [
"ACT-5.3.3"
],
"relatedFindings": [
"FE-01"
]
}
Descricao
SetRefreshTokenLifetime(TimeSpan.FromDays(180))define 6 meses de vida util. Janela de comprometimento de 180 dias por dispositivo.