14-16 Mar 2026
Voltar ao Plano

Reclassificar e corrigir HIGH-01 como Critical (DeviceTokenController)

ACT-7.1.3
4a Rod. ImediataCRITICA — hojeEsforco: MComplexidade: BaixaParalelizavel
Por que e urgente

DeviceTokenController sem auth + GetListAsync carrega tabela inteira em memoria — vetor de DoS

Risco de nao fazer

Endpoint aberto permite registrar device tokens maliciosos e DoS via carregamento de tabela inteira

Modulos Impactados

DeviceTokenController.csDeviceTokenAppService.cs

Passos de Implementacao

  1. 1Adicionar [Authorize] ao controller
  2. 2Substituir input por DTO com validacao
  3. 3Fixar UserId/TenantId no servidor (nao aceitar do cliente)
  4. 4Adicionar paginacao ao GetListAsync

Achados Relacionados

HIGH-01
AnteriorACT-7.1.2 Remover senha OpenIddict do codigo C# do AuthServer (CRIT-07)
ProximoCorrigir logout para limpar SecureStorage biometrico (FE-05) ACT-7.2.1