Análise de vulnerabilidade do arquivo html/atendido/familiar_listar.php

joaopontes22 commented 5 months ago

Vulnerability Analysis Existem duas vulnerabilidades presentes no código:

Injeção de SQL: A vulnerabilidade de injeção de SQL está presente na linha onde é feita a query SQL para buscar os dados dos dependentes do funcionário. O valor da variável $id_funcionario é diretamente interpolado na string da query, o que abre a possibilidade de um atacante manipular o valor dessa variável para realizar um ataque de injeção de SQL. Para corrigir isso, é recomendado utilizar prepared statements para construir consultas SQL parametrizadas e evitar a injeção de SQL.
Exposição de Informações Sensíveis: No trecho de código em que os dados dos dependentes são buscados e serializados em JSON, não há nenhum controle sobre quais dados serão retornados. Isso pode expor informações sensíveis dos dependentes do funcionário, como nome, CPF e parentesco. Para garantir a segurança e a privacidade dos dados dos dependentes, é importante implementar mecanismos de controle de acesso e encriptação dos dados, caso necessário. Além disso, é recomendado filtrar os dados sensíveis a serem retornados para o cliente.

Para corrigir essas vulnerabilidades, é importante implementar as seguintes práticas de segurança:

Utilize prepared statements para executar consultas SQL parametrizadas. Isso evita a injeção de SQL ao separar os dados dos comandos SQL.
Implemente controle de acesso para garantir que apenas usuários autorizados tenham acesso aos dados sensíveis. Isso pode ser feito verificando as permissões do usuário antes de retornar os dados dos dependentes.
Certifique-se de que os dados sensíveis sejam devidamente protegidos e que apenas as informações necessárias sejam expostas ao cliente. Evite retornar informações como CPF sem a devida proteção.

GabrielPintoSouza commented 5 months ago

O arquivo familiar_listar.php não é usado em nenhum local do sistema.

nicolly015 commented 1 month ago

nilsonLazarin / WeGIA