Olá a todos,
Nos últimos dias está tendo várias discussões em grupos sobre uma suposta vulnerabilidade no sistema permitindo acesso a dados e até msm inclusão de boletos aos nossos clientes, exposta pelo Mateus.
Gostaria de uma posição do suporte, sobre o assunto, pois é de suma importância a nossa segurança de dados dos clientes.
Respostas
Quem quiser ainda ajudar na vakinha no Matheus não tem problema, o trabalho dele faz parte do negocio, depois irei ver um fundo apenas para recompensa de bugs como tem nas outras empresas.
...NENHUM SISTEMA É PERFEITO...
https://olhardigital.com.br/2021/02/06/noticias/google-pagou-mais-u...
https://canaltech.com.br/redes-sociais/pesquisador-recebe-a-maior-r...
Gabriel era isso mesmo a falha, o Matheus me passou um script que gerava os números e baixava o backup, vacilo meu em ter colocado essa pasta online, mais já corrigir o problema e está resolvido, é somente fazer um update para a versão 21.01 amigo...
Gabriel disse:
Obrigado por informar,
Pedro,
Por gentileza se puder verificar os meus reports tirando o que você respondeu pois acredito que também possui vulnerabilidade.
Se quiser eu abro um tópico com eles em resumo;
Abraços
O Matheus informou que já passou a correção para Pedro Filho ;
Blz, Pedro e Urglenio
É que fui fazendo vários testes acabei não percebendo essas regras de negócio.
Pedro,
a pasta http://IPMK/bckp/download.php?id= / http://IPMK/bckp/ deveria ser pública?
fiz alguns testes e é possível por tentativa e erro achar o arquivo.
O número das versões 18 / 19 e 20 é formado por:
2001D1203P409100.maz
2001 = VERSÃO DO MK (PODE SER 1801 / 1802 / 1900 /1901 / 2001)
D1203P = NÚMERO ALEATÓRIO QUE REPETE EM TODAS VERSÕES
409100 = NÚMERO QUE PARECE INSTALAÇÃO DO CLIENTE ALGO ASSIM E NÃO SE REPETE NAS INSTALAÇÕES, ESSE PODDERIA COLOCAR UM ROBO RODANDO CHAMADAS ATÉ ENCONTRAR O ARQUIVO .MAZ
Acho que isso é bem critico pois se o hack ou alguém com má intenção descobrir, ele pode baixar e depois restaurar no mk auth que vai conseguir visualizar todo BD inclusive com a senha de admin etc.. podendo ainda fazer como o tópico principal, mudar a conta e trocar boleto.
Pedro Filho disse:
e essa chave é a publica Gabriel, é preciso ter a privada que fica no /root do linux, sem as duas não funciona a comunicação entre os servidores amigo...
urglenio disse:
O boleto abre por que vc deixou desmarcado a opção autenticação para vizualizar boleto. Muita gente usa para enviar URL para clientes
Gabriel disse:
Tudo bem.
Complementando os itens que já reportei.
http://ip mkauth/admin/chave.pub
Essa chave não deveria ser bloqueada de ser visualizada por quem não é ADM ? Qualquer um que colocar no navegador vai conseguir visualizar a chave. Eu sei que um mikrotik sem as configurações corretas podemos usar esse usuário com essa chave via SSH tanto rede interna como na externa e fazer qualquer coisa com o roteador, por gentileza Pedro me informe se eu estiver errado.
URL BOLETO PODE SER VERIFICADA APENAS TROCANDO O VALOR, SEM ESTÁ LOGADO
http://ip mkauth/boleto/20boleto.php?titulo=2000
Acredito que esse item assim como os outros que já informei na página 9 precisam se ajustados
Eu não sou obrigado a viver interagindo no fórum , minha licença está aí ativa. Estou participando de vários grupos de telecom, auto ajuda mk-auth.
Quando o cara divulgou lá no grupo, imediatamente o procurei para obter mais informações, em questão de minutos o cara já veio me falando a quantidade de Clientes que eu tinha, logins cadastrados no sistema , além de me mandar print de várias abas do sistema .
Desde então eu tô defendendo, se ele consegue acessar o meu ele acessa de qualquer um.
Esse tal de Henrique Vasques não existia antes desse tópico, nunca vi mais ativo do que qualquer outra coisa sem contar que cada post dele é em defesa do descobridor do BUG.
Eis a questão é a mesma pessoa ou será que realmente existe ? só uma dúvida mesmo.
__________________________________________________________________________
bem continuando, estava olhando e verificando alguns itens já informado.
Central do cliente logado
RECIBO (/central/recibo.php?titulo=001500)
Recibo parece ainda ser possível tentar encontrar um recibo válido e caso não encontre abre se o recibo default.
basta ficar alterando o número.
sugestão
Obs1.: Vincular Recibo ao usuário onde só esse usu pode abrir.
Obs2.: para evitar tentativa e erro de encontrar o recibo, adicionar um limite de tentativas.
ALERTA (central/prepara_carne.php?carne=0001)
É possível buscar o Carne de outra pessoa, talvez um gerador de número aleatório pois o número pode variar mas resumindo parece que hoje não existe verificação para vê se o cliente que está abrindo realmente é dono desse carne o que pode levar a vazamento de informação como Endereço / CEP / NOME PESSSOAL e outras informações...
Como o BOLETO utiliza um código maior passa ser mais difícil encontrar porém ocorre o mesmo caso acima, um cliente consegue abri o boleto de outro cliente não está atrelado ao cliente
sugestão
Obs1.: Vincular CARNE ao usuário onde só esse usu pode abrir.
Obs2.: para evitar tentativa e erro de encontrar o CARNE , adicionar um limite de tentativas.
ALERTA(central/suporte.php?page=mensagens&chamado=001) PERIGOSO
Cliente logado pode digitar um número de um chamado ou ficar tentando números aleatórios e consegue vê o chamado de outro cliente, O PIOR de tudo ele consegue também interagir nesse chamado enviando msg.
sugestão
Obs1.: Vincular O CHAMADO ao usuário onde só esse usu pode abrir.
FALHA CRITICA
Um Cliente logado consegue atualizar o dado de outro cliente.
Basta ele inspecionar a página com F12 e encontrar o botão 'SALVAR' após isso basta ele alterar o UUID para de qualquer outro usuário e a mágica acontece. -Lembrando que o UUID pode ser obtido de outras formas que desconheço ou por tentativa e erro.
<div class="form-footer"><div class="form-footer"> <div class="form-group"> <div class="col-md-9 col-md-offset-3"> <button type="submit" class="btn btn-primary btn-sm"> <span class="glyphicon glyphicon-floppy-disk" aria-hidden="true"></span> Salvar </button> <input type="hidden" name="uuid_cliente" id="uuid_cliente" value="ALTERE AQUI COM O UUID QUE QUEIRA MODIFICAR"> </div> </div> </div>
sugestão
Obs.: Solução, realizar uma analise no UUID para garantir que esse é o mesmo localizado no cookie do usuário logado.
Obs2.: para evitar tentativa e erro de encontrar o UUID, adicionar um limite de tentativas.
CENTRAL DO CLIENTE FOTO.
Na central existe um flash player para tirar foto, isso não funciona mais na maioria dos navegadores devido ao fato de flash player possuir falha de segurança.
Sugestão para contornar o problema de alteração de boleto.
Deveria existir um código tipo HASH entre GERENCIA NET e armazenado em algum lugar, nesse momento um cron ou outra coisa deveria submeter um pedido de hash para o GERENCIA e validar o documento para verificar se o hash seria o mesmo, caso contrário deveria emitir um alerta para o ADM.
vou continuar verificando para vê se encontro mais alguma coisa, acredito que nos scripts tenha alguma falha
-
1
-
2
-
3
-
4
-
5
de 12 Próximo