Pedro, bom dia.
No tópico de vulnerabilidade que já foi resolvido onde até ajudei a encontrar o problema e Depois o analista que divulgou o problema enviou o script pois não havia mais sentido esperar chegar ao valor solicitado pois eu já tinha informado o problema.
Também informei outros bugs, chegou a corrigir também nessa última atualização ?
ALERTA(central/suporte.php?page=mensagens&chamado=001) PERIGOSO
Cliente logado pode digitar um número de um chamado ou ficar tentando números aleatórios e consegue vê o chamado de outro cliente, O PIOR de tudo ele consegue também interagir nesse chamado enviando msg.
sugestão
Obs1.: Vincular O CHAMADO ao usuário onde só esse usu pode abrir.
FALHA CRITICA
Um Cliente logado consegue atualizar o dado de outro cliente.
Basta ele inspecionar a página com F12 e encontrar o botão 'SALVAR' após isso basta ele alterar o UUID para de qualquer outro usuário e a mágica acontece. -Lembrando que o UUID pode ser obtido de outras formas que desconheço ou por tentativa e erro.
<div class="form-footer"><div class="form-footer"> <div class="form-group"> <div class="col-md-9 col-md-offset-3"> <button type="submit" class="btn btn-primary btn-sm"> <span class="glyphicon glyphicon-floppy-disk" aria-hidden="true"></span> Salvar </button> <input type="hidden" name="uuid_cliente" id="uuid_cliente" value="ALTERE AQUI COM O UUID QUE QUEIRA MODIFICAR"> </div> </div> </div>
sugestão
Obs.: Solução, realizar uma analise no UUID para garantir que esse é o mesmo localizado no cookie do usuário logado.
Obs2.: para evitar tentativa e erro de encontrar o UUID, adicionar um limite de tentativas.
CENTRAL DO CLIENTE FOTO.
Na central existe um flash player para tirar foto, isso não funciona mais na maioria dos navegadores devido ao fato de flash player possuir falha de segurança.
Respostas
o ponto do UUID se o pedro cria ele usando o uniqid + um hash, adivinhar é praticamente impossivel...
Existe um bug, não sei se explorado ele pode abrir espaço para vulnerabilidade mas é o Seguinte.
Quando o usuário ou ADM do sistema clica no botão para sair, o sistema chama a URL http://172.31.255.2/admin/logout.php?usuario=admin
http://172.31.255.2/admin/logout.php?usuario=tteste
http://172.31.255.2/admin/logout.php?usuario=ttesteeeeeeee
Após sair do sistema, essa URL pode ser acionada repetidas vezes com logins diferentes e inclusive com o próprio admin, fazendo com que o log do MK-BOT registre tudo, dando a entender uma falha de acesso algo do tipo.
A URL funciona mesmo já deslogado.
existe ainda o /api
usando o usuario mk-bot e a chave hexadecimal consegue logar na api..
diretorio /scripts tambem acessivel sem estar logado
diretorio /boleto
a solucao mais simples e rapida no momento sem ter que efetuar update pra nova versao 21.01 que esta tendo bastante problemas no momento, seria criar uma htpasswd.. linkar o directorio /bckp para proteger o diretorio com usuario e senha caso tente acessar pra baixar os arquivos .MAZ... ele ira pedir usuario e senha pra tentar acessar a pasta...
### criando diretorio para chaves ###
mkdir /home/chaves/
### criando senha e usuario especificado ###
htpasswd -c /home/chaves/htpasswd $nomeusuario
### criar arquivo nome .htaccess dentro da pasta bckp ###
AuthType Basic AuthName "Acesso Proibido" AuthUserFile /home/chaves/htpasswd Require user $nomeusuario
entrar em /etc/apache2/apache2.conf
###apache2.conf###
<Directory /opt/mk-auth/bckp>
Options Indexes Includes FollowSymLinks MultiViews
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>
apache2 reload
resultado
para que utiliza o API no mikrotik, dai essa solçao nao da, ne?
Pedro Costa disse:
Pedro,
Os itens informados foram ajustados ?
alguns sim, estou olhando os outros...
e Gabriel usa cloudflare no seu sistema, ele ajuda na segurança:
http://mk-auth.com.br/forum/topics/usando-cloudflare-como-firewall-...
Gabriel disse: