Início / Documentação / Auditoria de segurança — RH MotionFit
HTML estilizadov10Sem dependência externa
Ver Markdown originalVoltar ao Hub

Auditoria de segurança — RH MotionFit

Escopo

Análise do ZIP rh.motionfitacademia.com.br (4)(1).zip para documentação técnica. Nenhum segredo real foi copiado para esta documentação.

Achados

Arquivo Risco detectado
admissoes/.env env_real
admissoes/README.md default_password
admissoes/scripts/run_smoke.php default_password
admissoes/scripts/seed_homologation.php default_password
MT0/INSTALAR_ADMIN_USUARIOS.txt default_password
MT0/form_pix/admin_login.php default_password
MT0/form_pix/config.php default_password
MT0/form_pix/README.md default_password
MT0/pix/admin_login.php default_password
MT0/pix/config.php default_password
MT0/pix/README.md default_password
MT1/trabalhe_conosco/.env env_real
sistemaRh/adm/Login/processaLogin.php debug_display_errors, plain_password_compare
sistemaRh/model/conexao.php hardcoded_db_password
sistemaRh/pages/Config/processaEnviarFeedback.php debug_display_errors
sistemaRh/pages/Login/processaLogin.php debug_display_errors, plain_password_compare
sistemaRh/pages/Suporte/processaEnviarEmail.php debug_display_errors
sistemaRh/V1/adm/Login/processaLogin.php debug_display_errors, plain_password_compare
sistemaRh/V1/model/conexao.php hardcoded_db_password
sistemaRh/V1/pages/Config/processaEnviarFeedback.php debug_display_errors
sistemaRh/V1/pages/Login/processaLogin.php debug_display_errors, plain_password_compare
sistemaRh/V1/pages/Suporte/processaEnviarEmail.php debug_display_errors

Riscos principais

  • .env real dentro do pacote.
  • Senha de banco hardcoded no legado.
  • Senha temporária/documentada admin/123456 no Pix.
  • Fluxos legados com senha comparada em texto puro.
  • display_errors ativo em arquivos de produção.

Correções recomendadas

  1. Trocar imediatamente credenciais encontradas no pacote analisado.
  2. Mover dados de conexão para .env fora do repositório.
  3. Garantir que .env, logs, SQLs e uploads sejam bloqueados por .htaccess e não versionados.
  4. Migrar senhas legadas para password_hash e password_verify.
  5. Desativar display_errors em produção.
  6. Criar .env.example seguro para cada módulo.
  7. Revisar permissões de banco por aplicação, evitando um usuário único com acesso amplo demais.

Política de documentação

  • Documentar variáveis e placeholders.
  • Nunca documentar senha real, token real, hash real ou dump de dados pessoais.
  • Ao detectar segredo em ZIP enviado, registrar apenas o arquivo e o tipo de risco.