MK-AUTH

Boa noite, descobri várias falhas no meu servidor.

 

Meu Amigo Brito " Laurency" viu que meu serviços em ip services estavam abertos e meu uma dica para fechá-los o que eu realmente não use.

Também para que eu desativasse os gráficos online, pois saberia a quantidade de clientes on que eu tenho e o nome dos usuários.

 

Criei esse tópico com o intuito de ajudar a descobrir falhas e não de sacanear servidores descobertos, como prova do bom intuito de minha parte, deixo meu ip para teste e aguardo ajuda dos amigos fo fórum.

 

Aos que descobrirem, favor postar as soluções para fecharmos nossos servers.

 

 

 

Exibições: 347

Responder agora

Respostas a este tópico

Pedro testa ae a falha


http://172.31.255.2/central/preparaboleto.php?titulo=xxxx
acesse esse link e troque os 4 xxxx por uma milhar qualquer
Pedro Filho disse:

se for aquele lance da url do boleto eu já corrigir, http://172.31.255.2/boleto/?numero_titulo eu já corrigir fazendo o sistema pedir a senha do cliente antes de gerar o boleto...

Mauricélio disse:

Edl, como falei com o cláudio, é uma falha que infelizmente não temos muito o que fazer, pois somente com algumas alterações no código fonte do sistema solucionaria o problema.

Acho melhor a gente nem saber como fazer isso, afinal quanto menos pessoas saberem,menor sera a possibilidade de explorar a falha.

Depois que o Pedro corrigir ai sim a gente

 

li todas as respostas e não achei nada concreto, o que tenho que fazer para fechar essa brexa no sistema? fazer o update? aguardo! minha versão atual é 4.85 build!

Amigão é justamente esse o intuito, expor as falhas e aguradar uma solução pelo pedro, mas ele já corrigiu algumas relacionadas aos boletos, mas essa aqui:

http://172.31.255.2/central/preparaboleto.php?titulo=xxxx
acesse esse link e troque os 4 xxxx por uma milhar qualquer

 

ainda encontra-se em aberto. vamos aguradar.

me passa o seu contato ai! pra vc me explicar direitinho!

Cláudio Antônio Afonso disse:

Amigão é justamente esse o intuito, expor as falhas e aguradar uma solução pelo pedro, mas ele já corrigiu algumas relacionadas aos boletos, mas essa aqui:

http://172.31.255.2/central/preparaboleto.php?titulo=xxxx
acesse esse link e troque os 4 xxxx por uma milhar qualquer

 

ainda encontra-se em aberto. vamos aguradar.

Bom, vamos lá....

 

Primeira coisa seria você achar onde está o erro para entender...
Segunda coisa é que se você já leu todas as respostas faltou interpretar o que está escrito... Só o Pedro pode corrigir isso.

Não adianta fazer o update pois ainda tem que ser revisados alguns arquivos php para a correção, e nesse caso só o Pedro pode fazê-lo.

 

Todos estamos no mesmo barco, portanto, waiting!!!!!

 

 

Marlon Bolzan disse:

li todas as respostas e não achei nada concreto, o que tenho que fazer para fechar essa brexa no sistema? fazer o update? aguardo! minha versão atual é 4.85 build!

faz o seguinte

vai em detalhes de boletos doseu cliente e ver o numero do boleto dele

depois inseri nessa urlç e vê o que acontece

Amigão é justamente esse o intuito, expor as falhas e aguradar uma solução pelo pedro, mas ele já corrigiu algumas relacionadas aos boletos, mas essa aqui:

http://172.31.255.2/central/preparaboleto.php?titulo=xxxx
acesse esse link e troque os 4 xxxx por uma milhar qualquer

 

 

 

até ae tudo bem questão de erros e acertos, mas existe um furo ae que não dar para revelar por aqui

meu msn adm_cwt@hotmail.com

Marlon Bolzan disse:

li todas as respostas e não achei nada concreto, o que tenho que fazer para fechar essa brexa no sistema? fazer o update? aguardo! minha versão atual é 4.85 build!

no meu ponto de vista é facil arrumar, só ele colocar para ter acesso somente autenticado no arquivo, quem nao estiver autenticado e pedir a requisição da pagina vai para o login,

Antonoel,

 

A ideia é boa, mas só a autenticação talvez não seja a solução, pois um usuario já autenticado pode explorar a falha, ja reduziria os riscos, mas não evitaria.

 

Teria que ter uma forma de só aceitar autenticado e só abrir os boletos referentes ao usuario autenticado, ai sim resolveria o problema.

 

Antonoel Cavalcante disse:

no meu ponto de vista é facil arrumar, só ele colocar para ter acesso somente autenticado no arquivo, quem nao estiver autenticado e pedir a requisição da pagina vai para o login,

Mauricélio,

 

isto seria a soluçao, usuario autenticado tem o user dele, na hora dele ver o boleto ele faz a checagem se o user do codigo do boleto que esta pedindo a requisição bate, se nao bater nao libera as informações, basicamente isto já resolveria

Responder à discussão

RSS

Parceiros

© 2017   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço