PedidosSemEstresse é uma aplicação Web destinada a digitalizar
o processo de pedidos de serviços de um órgão da administração
pública. A interface de PedidosSemEstresse utilizada pelos
usuários faz chamadas a uma API RESTful e não utiliza facilidades
de login único (single sign-on – SSO). Recentemente, o usuário
interno João utilizou suas próprias credenciais com privilégios
somente de execução de métodos GET para explorar
vulnerabilidades e teve acesso direto a API RESTful. Assim, João
fez chamadas a métodos POST com sucesso.
Com base no OWASP Top Ten, a vulnerabilidade explorada por
João é da categoria: