# Auditoria de segurança — RH MotionFit ## Escopo Análise do ZIP `rh.motionfitacademia.com.br (4)(1).zip` para documentação técnica. Nenhum segredo real foi copiado para esta documentação. ## Achados | Arquivo | Risco detectado | | --- | --- | | admissoes/.env | env_real | | admissoes/README.md | default_password | | admissoes/scripts/run_smoke.php | default_password | | admissoes/scripts/seed_homologation.php | default_password | | MT0/INSTALAR_ADMIN_USUARIOS.txt | default_password | | MT0/form_pix/admin_login.php | default_password | | MT0/form_pix/config.php | default_password | | MT0/form_pix/README.md | default_password | | MT0/pix/admin_login.php | default_password | | MT0/pix/config.php | default_password | | MT0/pix/README.md | default_password | | MT1/trabalhe_conosco/.env | env_real | | sistemaRh/adm/Login/processaLogin.php | debug_display_errors, plain_password_compare | | sistemaRh/model/conexao.php | hardcoded_db_password | | sistemaRh/pages/Config/processaEnviarFeedback.php | debug_display_errors | | sistemaRh/pages/Login/processaLogin.php | debug_display_errors, plain_password_compare | | sistemaRh/pages/Suporte/processaEnviarEmail.php | debug_display_errors | | sistemaRh/V1/adm/Login/processaLogin.php | debug_display_errors, plain_password_compare | | sistemaRh/V1/model/conexao.php | hardcoded_db_password | | sistemaRh/V1/pages/Config/processaEnviarFeedback.php | debug_display_errors | | sistemaRh/V1/pages/Login/processaLogin.php | debug_display_errors, plain_password_compare | | sistemaRh/V1/pages/Suporte/processaEnviarEmail.php | debug_display_errors | ## Riscos principais - `.env` real dentro do pacote. - Senha de banco hardcoded no legado. - Senha temporária/documentada `admin`/`123456` no Pix. - Fluxos legados com senha comparada em texto puro. - `display_errors` ativo em arquivos de produção. ## Correções recomendadas 1. Trocar imediatamente credenciais encontradas no pacote analisado. 2. Mover dados de conexão para `.env` fora do repositório. 3. Garantir que `.env`, logs, SQLs e uploads sejam bloqueados por `.htaccess` e não versionados. 4. Migrar senhas legadas para `password_hash` e `password_verify`. 5. Desativar `display_errors` em produção. 6. Criar `.env.example` seguro para cada módulo. 7. Revisar permissões de banco por aplicação, evitando um usuário único com acesso amplo demais. ## Política de documentação - Documentar variáveis e placeholders. - Nunca documentar senha real, token real, hash real ou dump de dados pessoais. - Ao detectar segredo em ZIP enviado, registrar apenas o arquivo e o tipo de risco.