CAPL-8707
[Carol] Avaliar endpoints retornando informações além do esperado (org/tenant)
Description
Objetivo
-
Revisar endpoints não autenticados retornando mais dados do que o necessário:
https://platform.carol.ai/api/v5/tenants/domain/poffohttps://poffo.carol.ai/api/v5/organizations/domain/poffo
-
Orientações definidas na issue
:CAPL-6881: Energisa SA - Plataforma Carol - [Pentest] - Teste em enumeração de contas ou...Done
-
Nenhum endpoint antigo (v1, v2, v3, v4) deve ser alterado:
-
“/api/vX/tenants/domain/TENANT_NAME“
-
-
Criar novo endpoint “/api/v5/tenants/domain/TENANT_NAME“ sem autenticação deve retornar apenas os atributos abaixo para a tenant solicitada:
-
mdmId
-
tenantName
-
orgId
-
mdmAllowSmsLogin
-
-
Endpoint “/api/v5/tenants/domain/TENANT_NAME“ com autenticação deve retornar todos os atributos da entidade. como ocorre hoje.
-
Criar novo endpoint “/api/v5/organizations/domain/ORG_NAME“ sem autenticação deve retornar apenas os atributos abaixo para a tenant solicitada:
-
mdmId
-
orgName
-
mdmAllowSmsLogin
-
-
Endpoint “/api/v5/organizations/domain/ORG_NAME“ com autenticação deve retornar todos os atributos da entidade. como ocorre hoje.
-