Voltar ao catalogoSEC2-18
Zero rate limiting em todos os endpoints da API
LowAchado ConfirmadoSegurancaRodada 4
Evidencia
Nenhuma configuracao de rate limiting em `cargo_fleetHttpApiHostModule.cs`, `Program.cs`, ou manifests Kubernetes/Nginx.
Impacto Tecnico
Endpoints sem auth como POST /api/app/device-token e endpoints financeiros como /api/app/ofertas/cotar podem ser invocados em loop. Vetor para brute force, DoS e abuso.
Impacto de Negocio
Risco de abuso de API, DoS, e brute force sem deteccao.
Recomendacao
Implementar rate limiting via middleware .NET (AspNetCoreRateLimit) ou no ingress (Nginx/Traefik). Priorizar endpoints sem autenticacao.
Arquivos Afetados
aspnet-core/src/cargo_fleet.HttpApi.Host/
Acoes Relacionadas
{
"id": "SEC2-18",
"title": "Zero rate limiting em todos os endpoints da API",
"severity": "Low",
"type": "achado confirmado",
"category": "security",
"description": "Nenhuma configuracao de rate limiting encontrada na API, nos manifests Kubernetes, ou no Nginx. Endpoints podem ser invocados em loop sem restricao.",
"evidence": "Nenhuma configuracao de rate limiting em `cargo_fleetHttpApiHostModule.cs`, `Program.cs`, ou manifests Kubernetes/Nginx.",
"technicalImpact": "Endpoints sem auth como `POST /api/app/device-token` e endpoints financeiros como `/api/app/ofertas/cotar` podem ser invocados em loop. Vetor para brute force, DoS e abuso.",
"businessImpact": "Risco de abuso de API, DoS, e brute force sem deteccao.",
"recommendation": "Implementar rate limiting via middleware .NET (`AspNetCoreRateLimit`) ou no ingress (Nginx/Traefik). Priorizar endpoints sem autenticacao.",
"files": [
"aspnet-core/src/cargo_fleet.HttpApi.Host/"
],
"pass": 4,
"relatedActions": [
"ACT-7.4.1"
]
}
Descricao
Nenhuma configuracao de rate limiting encontrada na API, nos manifests Kubernetes, ou no Nginx. Endpoints podem ser invocados em loop sem restricao.