01 - STAKEHOLDER (quem valida e esclarece):
02 - PROBLEMA (cenário e/ou dor):

Durante os testes, identificamos que o formulário de cadastro de usuários não valida adequadamente os campos de entrada. É possível inserir caracteres especiais no campo de nome do usuário, evidenciando a ausência de sanitização e validação de parâmetros.

Para reproduzir a vulnerabilidade, navegamos até a página de edição de conta e inserimos diversos caracteres especiais no campo de nome. A aplicação aceitou os caracteres, evidenciando a ausência de validação adequada dos parâmetros de entrada.

Recomendações

Recomendamos implementar validação e sanitização rigorosa de todos os campos de entrada, permitindo apenas caracteres válidos para cada contexto (por exemplo, letras e espaços no nome de usuário). Adotar frameworks e bibliotecas de validação recomendadas, além de implementar testes automatizados para garantir a robustez contra entradas maliciosas.

Evidências da simulação

03 - OBJETIVO (solução proposta):

• Resolver vulnerabilidade apontada pelo PENTEST.

04 - QUEM PODE USAR (perfis de usuários):
05 - ASSETS (links e arquivos relevantes):
06 - CRITÉRIOS DE ACEITE:

• Implementar validação e sanitização dos campos de entrada permitindo apenas caracteres válidos para cada contexto (por exemplo, letras e espaços no nome de usuário).

  • FE: limitar caracteres no input field de nome.

  • BE: limitar o nome para caracteres e números.

• Implementar testes automatizados para garantir a robustez contra entradas maliciosas.