01 - STAKEHOLDER (quem valida e esclarece):
02 - PROBLEMA (cenário e/ou dor):
Durante os testes, identificamos que a funcionalidade de envio de convites na área autenticada não possui validação adequada sobre os parâmetros transmitidos na requisição. Ao interceptar o tráfego com o proxy Burp Suite, observamos que a URL de convite era manipulável.

Para reproduzir a vulnerabilidade, acessamos a aplicação, navegamos até a área autenticada e selecionamos a opção de envio de convite por e-mail. Em seguida, inserimos um endereço de e-mail válido e realizamos o envio. Em seguida, interceptamos a comunicação entre cliente e servidor utilizando o proxy Burp Suite, o que nos permitiu inspecionar a requisição gerada durante o envio do convite. Na caixa de entrada, recebemos o e-mail contendo o link de convite para participar da plataforma. Retomamos o fluxo e alteramos a URL do convite na requisição, inserindo um link malicioso. O backend não aceitou a modificação, possivelmente devido à existência de restrições relacionadas ao domínio. Entretanto, verificamos que ainda era possível manipular outros parâmetros presentes na URL. Aproveitando essa condição, somado à vulnerabilidade previamente identificada foi possível aumentar o impacto da exploração. Para evidenciar, inserimos um parâmetro contendo uma mensagem maliciosa e prosseguimos. Ao acessarmos o link de convite manipulado, a mensagem maliciosa foi exibida, induzindo o usuário a clicar no link.

Recomendações
Recomendamos implementar validação rigorosa dos parâmetros utilizados no fluxo de convites, garantindo que apenas URLs autorizadas e previamente definidas pela aplicação sejam enviadas. Além disso, aplicar sanitização e encoding no conteúdo exibido ao usuário final, evitando que informações manipuladas sejam
refletidas. Recomenda-se também a utilização de templates fixos de convite, reduzindo a possibilidade de injeção de conteúdo não autorizado.

Vulnerabilidade apontada na página 57 do relatório -->https://drive.google.com/file/d/1wS04S0cW0MyEseZQVEj3E6N9Bn1V-3TN/view

Evidências da interceptação e manipulação:

03 - OBJETIVO (solução proposta):
04 - QUEM PODE USAR (perfis de usuários):
05 - ASSETS (links e arquivos relevantes):
06 - CRITÉRIOS DE ACEITE:

• Endpoint de convite à prova de manipulações por atacantes:

  • Garantir que a URL seja apenas CAROL.

  • Ou, remover parâmetro (ignorar ele) e sempre assumir a URL padrão de Carol para aceitar convites.