Forum

Testando falhas em SErvidores

Postado por Cláudio Antônio Afonso em 13 de Julho de 2011 às 23:06

Boa noite, descobri várias falhas no meu servidor.

 

Meu Amigo Brito " Laurency" viu que meu serviços em ip services estavam abertos e meu uma dica para fechá-los o que eu realmente não use.

Também para que eu desativasse os gráficos online, pois saberia a quantidade de clientes on que eu tenho e o nome dos usuários.

 

Criei esse tópico com o intuito de ajudar a descobrir falhas e não de sacanear servidores descobertos, como prova do bom intuito de minha parte, deixo meu ip para teste e aguardo ajuda dos amigos fo fórum.

 

Aos que descobrirem, favor postar as soluções para fecharmos nossos servers.

 

 

 

Visualizações: 16

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Antonoel Cavalcante Julho 16, 2011 23:33

    Mauricélio,

     

    isto seria a soluçao, usuario autenticado tem o user dele, na hora dele ver o boleto ele faz a checagem se o user do codigo do boleto que esta pedindo a requisição bate, se nao bater nao libera as informações, basicamente isto já resolveria

  • Mauricélio Julho 16, 2011 22:13

    Antonoel,

     

    A ideia é boa, mas só a autenticação talvez não seja a solução, pois um usuario já autenticado pode explorar a falha, ja reduziria os riscos, mas não evitaria.

     

    Teria que ter uma forma de só aceitar autenticado e só abrir os boletos referentes ao usuario autenticado, ai sim resolveria o problema.

     

    Antonoel Cavalcante disse:

    no meu ponto de vista é facil arrumar, só ele colocar para ter acesso somente autenticado no arquivo, quem nao estiver autenticado e pedir a requisição da pagina vai para o login,

  • Antonoel Cavalcante Julho 16, 2011 18:51

    no meu ponto de vista é facil arrumar, só ele colocar para ter acesso somente autenticado no arquivo, quem nao estiver autenticado e pedir a requisição da pagina vai para o login,

  • Cláudio Antônio Afonso Julho 16, 2011 14:27

    faz o seguinte

    vai em detalhes de boletos doseu cliente e ver o numero do boleto dele

    depois inseri nessa urlç e vê o que acontece

    Amigão é justamente esse o intuito, expor as falhas e aguradar uma solução pelo pedro, mas ele já corrigiu algumas relacionadas aos boletos, mas essa aqui:

    http://172.31.255.2/central/preparaboleto.php?titulo=xxxx
    acesse esse link e troque os 4 xxxx por uma milhar qualquer

     

     

     

    até ae tudo bem questão de erros e acertos, mas existe um furo ae que não dar para revelar por aqui

    meu msn adm_cwt@hotmail.com

    Marlon Bolzan disse:

    li todas as respostas e não achei nada concreto, o que tenho que fazer para fechar essa brexa no sistema? fazer o update? aguardo! minha versão atual é 4.85 build!
  • A Galdino Julho 16, 2011 13:13

    Bom, vamos lá....

     

    Primeira coisa seria você achar onde está o erro para entender...
    Segunda coisa é que se você já leu todas as respostas faltou interpretar o que está escrito... Só o Pedro pode corrigir isso.

    Não adianta fazer o update pois ainda tem que ser revisados alguns arquivos php para a correção, e nesse caso só o Pedro pode fazê-lo.

     

    Todos estamos no mesmo barco, portanto, waiting!!!!!

     

     

    Marlon Bolzan disse:

    li todas as respostas e não achei nada concreto, o que tenho que fazer para fechar essa brexa no sistema? fazer o update? aguardo! minha versão atual é 4.85 build!
  • Marlon Bolzan Julho 16, 2011 13:11
    me passa o seu contato ai! pra vc me explicar direitinho!

    Cláudio Antônio Afonso disse:

    Amigão é justamente esse o intuito, expor as falhas e aguradar uma solução pelo pedro, mas ele já corrigiu algumas relacionadas aos boletos, mas essa aqui:

    http://172.31.255.2/central/preparaboleto.php?titulo=xxxx
    acesse esse link e troque os 4 xxxx por uma milhar qualquer

     

    ainda encontra-se em aberto. vamos aguradar.

  • Cláudio Antônio Afonso Julho 16, 2011 13:09

    Amigão é justamente esse o intuito, expor as falhas e aguradar uma solução pelo pedro, mas ele já corrigiu algumas relacionadas aos boletos, mas essa aqui:

    http://172.31.255.2/central/preparaboleto.php?titulo=xxxx
    acesse esse link e troque os 4 xxxx por uma milhar qualquer

     

    ainda encontra-se em aberto. vamos aguradar.

  • Marlon Bolzan Julho 16, 2011 13:01
    li todas as respostas e não achei nada concreto, o que tenho que fazer para fechar essa brexa no sistema? fazer o update? aguardo! minha versão atual é 4.85 build!
  • Cláudio Antônio Afonso Julho 16, 2011 10:19

    Pedro testa ae a falha


    http://172.31.255.2/central/preparaboleto.php?titulo=xxxx
    acesse esse link e troque os 4 xxxx por uma milhar qualquer
    Pedro Filho disse:

    se for aquele lance da url do boleto eu já corrigir, http://172.31.255.2/boleto/?numero_titulo eu já corrigir fazendo o sistema pedir a senha do cliente antes de gerar o boleto...

    Mauricélio disse:

    Edl, como falei com o cláudio, é uma falha que infelizmente não temos muito o que fazer, pois somente com algumas alterações no código fonte do sistema solucionaria o problema.

    Acho melhor a gente nem saber como fazer isso, afinal quanto menos pessoas saberem,menor sera a possibilidade de explorar a falha.

    Depois que o Pedro corrigir ai sim a gente

     

  • Cláudio Antônio Afonso Julho 16, 2011 10:16

    Esse o pedro ainda não resolveu ainda, mas eu não sei se na 4.86 ele resolveu, eu ainda não atualizei

     

This reply was deleted.