Um Auditor de Controle Externo da área de TI do TCM/GO verificou que uma aplicação utiliza a seguinte chamada SQL:
String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";
Esta mesma aplicação utiliza um framework de persistência que faz a seguinte chamada em um formato SQL adaptado:
Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");
Esta aplicação está vulnerável a ataques de
Certo tipo de ataque a aplicações web força a vítima, que possui uma sessão ativa em um navegador, a enviar uma requisição
HTTP forjada, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão, à uma
aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação
vulnerável aceita como requisições legítimas realizadas pela vítima.
A prevenção contra este tipo de ataque, geralmente, requer a inclusão de um
As Normas de Auditoria, NAT do TCU apresentam recomendações referentes aos relatórios de auditoria. “Apresentar, entre outras, toda a informação e todos os elementos necessários para satisfazer os objetivos da auditoria, permitir a correta compreensão dos fatos e situações relatadas, prover os usuários do relatório com uma compreensão suficientemente íntegra. As relações entre objetivos, critérios, achados e conclusões precisam ser expressas de forma clara e íntegra, permitindo sua verificação” é a característica de
