Auditoria de Segurança — PBI
Resultado da análise
O ZIP analisado contém arquivos com credenciais reais, endpoints sem
autenticação explícita e display_errors ligado em alguns
pontos. A documentação gerada substitui dados sensíveis por
placeholders.
Achados
| Tipo | Arquivo |
|---|---|
| credencial_db_hardcoded | test_db.php |
| credencial_db_hardcoded | not/1/config.example.php |
| token_uuid | not/1/config.example.php |
| credencial_db_hardcoded | not/1/config.php |
| token_uuid | not/1/config.php |
| credencial_db_hardcoded | Entries/index.php |
| credencial_db_hardcoded | Entries/entries_api.php |
| display_errors_ligado | Entries/entries_api.php |
| credencial_db_hardcoded | config.php |
| credencial_db_hardcoded | metas/config.php |
| senha_padrao | metas/config.php |
| cors_aberto | metas/api/public/index.php |
| senha_padrao | metas/db.php |
| credencial_db_hardcoded | Sales/sales_api.php |
| display_errors_ligado | Sales/sales_api.php |
| credencial_db_hardcoded | Sales/index.php |
| cors_aberto | Historico/api_historico_telas.php |
Impacto
| Achado | Risco | Correção |
|---|---|---|
| Credencial DB no código | Vazamento em repositório/backup/ZIP. | Mover para .env e rotacionar. |
| Token/senha EVO no código | Acesso indevido à API parceira. | Rotacionar credencial e usar variável de ambiente. |
display_errors=1 |
Exposição de paths, SQL e stack trace. | Desligar em produção e registrar em log. |
CORS * |
Permite chamadas de qualquer origem. | Restringir origem ou exigir token. |
| APIs sem auth | Exposição de vendas/entradas/dados pessoais. | Usar Bearer token, API key ou IP allowlist. |
.env recomendado
APP_ENV=production
APP_DEBUG=false
PBI_DB_HOST=<DB_HOST>
PBI_DB_NAME=<DB_NAME>
PBI_DB_USER=<DB_USER>
PBI_DB_PASS=<DB_PASSWORD>
METAS_DB_HOST=<DB_HOST>
METAS_DB_NAME=<DB_NAME>
METAS_DB_USER=<DB_USER>
METAS_DB_PASS=<DB_PASSWORD>
SALES_DB_HOST=<DB_HOST>
SALES_DB_NAME=<DB_NAME>
SALES_DB_USER=<DB_USER>
SALES_DB_PASS=<DB_PASSWORD>
ENTRIES_DB_HOST=<DB_HOST>
ENTRIES_DB_NAME=<DB_NAME>
ENTRIES_DB_USER=<DB_USER>
ENTRIES_DB_PASS=<DB_PASSWORD>
EVO_BASE_URL=https://evo-integracao-api.w12app.com.br
EVO_USER=<EVO_USER>
EVO_PASS=<EVO_PASS_OR_TOKEN>
JWT_SECRET=<LONG_RANDOM_SECRET>Ação urgente
Rotacionar as credenciais que apareceram no ZIP antes de publicar a documentação ou versionar o código.