XD

ID: BCORI_00082.002
Categoria: CWE-592: Authentication Bypass Issues
Reportado por: npires
Projeto: Análise de teste github AUTOmatica
Criticidade:
Impacto: Médio
Probabilidade: Médio
Criticidade: Médio
Padrões: n/a, CWE Incompatible
Descrição: O formularío de autenticação na aplicação não possui mecanismos que inibam ataques automatizados de tentativas múltiplas de login. Com isso um atacante pode implementar ou utilizar uma ferramenta pronta para diversas tentativas de login utilizando usuários e senhas provindos de um dicionario ou simplesmente incremental (A, B, C... AA, AB, AC etc) com o intúito de obter credenciais (usuário e senha) válidas na aplicação.
Descrição do Impacto: Aguardando preenchimento

Solução: Recomenda-se implementar um mecanismo baseado na utilização de CAPTCHAs (Completely Automated Public Turing Test to Tell Computers and Humans Apart). Nesse cenário, após "n" tentativas de autenticação mal sucedidas o usuário deveria receber um desafio baseado no teste de Turing. Como sugestão, um sistema eficiente que pode ser utilizado é o projeto reCaptcha do Google.

Referência: https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks
http://www.google.com/recaptcha/learnmore
http://www.captcha.net/
https://www.owasp.org/index.php/Testing_for_Captcha_(OWASP-AT-008)

Tipo de falha:

**Código:**https://www.livechart.me/summer-2020/tv

**Entrada de dados:**https://www.livechart.me/summer-2020/tv

**Saída de dados:**https://www.livechart.me/summer-2020/tv

Defect Tracker: https://app.conviso.com.br/scopes/158/projects/2126

ID: BCORI_00082.005
Categoria: CWE-642 External Control of Critical State Data
Reportado por: npires
Projeto: Análise de teste github AUTOmatica
Criticidade:
Impacto: Médio
Probabilidade: Alto
Criticidade: Alto
Padrões: [2010] A9 - Insufficient Transport Layer Protection, CWE-311 Missing Encryption of Sensitive Data
Descrição: O framework utilizado não está configurado para criptografar o conteúdo dos cookies. A não utilização de criptografia permite que um usuário mal intencionado obtenha ou modifique informações.
Descrição do Impacto: Aguardando preenchimento

Solução: Habilitar a criptografia dos identificadores de sessão.
Exemplo:
$config[‘sess_encrypt_cookie’] = TRUE;
 
Após habilitar a criptografia, uma chave criptografática deve-se ser configurada:
Exemplo:
$config['encryption_key'] = "KEY";
 
 

Referência: https://www.owasp.org/index.php/Information_Leakage
http://ellislab.com/codeigniter/libraries/sessions.html
http://ellislab.com/codeigniter/user_guide/libraries/encryption.html
http://www.plasmadesign.com.br/codeigniter/user_guide-pt_BR/libraries/encryption.html

Tipo de falha:

**Código:**dasdasdasdasdasd

**Entrada de dados:**asdasdasd

**Saída de dados:**asdsadasd

Defect Tracker: https://app.conviso.com.br/scopes/158/projects/2126