Skip to main content

Achados do Pentest

#SeveridadeDescriçãoEndpoint
#02CríticoATO completo — verify-email envia código para o e-mail do atacantePOST /api/auth/verify-email
#03Críticoverify-phone envia código para o celular do atacantePOST /api/auth/verify-phone
#04CríticoBrute force do código de 6 dígitos sem rate limitPOST /api/auth/verify-code-recover
#05CríticoChave vazada do QA autentica contra hosts de PRODUÇÃOauth.superzzapp.com.br / bff.superzzapp.com.br
#07CríticoSQL Injection no header api-company-targetPOST /api/payment/profile-fraud
#08CríticoVazamento cross-tenant: 238 perfis de fraude (CPF, nome e celular)GET /api/payment/profile-fraud
#23AltoCriação anônima de vitrines sem autenticaçãoPOST /bff/show-case
#24AltoBearer bypass em múltiplos endpoints: x-api-key sozinha permite CREATEsMúltiplos (/bff/show-case, /bff/push-notification, etc.)
#25Altox-api-key vazada também autentica na Auth API (QA)auth-qa.superzzapp.com.br/api/auth/*
#26Alto/api/crm/bonus-query aceita x-api-key — enumeração de loja + PIIPOST /api/crm/bonus-query
#27Altorefresh-token funciona como login alternativo via x-api-keyPOST /api/auth/refresh-token
#29AltoSignalR de PROD aceita JWT derivado de QAPOST /hubs/logout-user/negotiate (PROD)
#30AltoHeader api-company-target sobrescreve claim de schema do JWTHeader api-company-target
#31AltoAccount enumeration + password spray identifica 8 CPFs cadastrados em QAPOST /api/auth
#45AltoCORS com Access-Control-Allow-Origin: * em endpoints credenciadosHeaders CORS (QA e PROD)