Autor Tópico: FALHA DE SEGURANÇA  (Lida 634 vezes)

adrianacombat

  • Avançado
  • ****
  • Mensagens: 307
    • Email
FALHA DE SEGURANÇA
« Online: Fevereiro 02, 2015, 10:15:57 am »
Bom dia.

Eu estava realizando um consulta no Google com o nome de um cliente e por acaso retornou no primeiro resultado um endereço de um sistema que fizemos no SCRIPTCASE V6 para o meu irmão.
Ao clicar no link, tivemos acesso a todos os dados de seu clientes, copiando e colando o link no browser .../appwb/grid_clienteswb/grid_clienteswb.php, a página de cadastro de Clientes é aberta e pode-se manipular todos os dados de seus clientes sem que seja cobrado login.

Como foi feito na versão 6, achamos que poderia ser uma falha de segurança da versão, porém testamos em um aplicação nossa feita na versão 8 e construída com o módulo de segurança padrão, sem customizações.
Se você coloca o link e faz o login como admin ele abre a tela com o usuário no canto.
.../laudonline/app_laudo_Login/app_laudo_Login.php

Porém se você sai do sistema, fecha o browser, limpa o histórico e usa o link do menu abaixo SEM FAZER LOGIN, o sistema abre do mesmo jeito, mesmo sem usuário logado! Ele tem acesso a todo sistema, Inclusive ao cadastro de Usuários!!!
.../laudonline/treemenu_laudo/treemenu_laudo.php

Solicito a sua ajuda para resolver esse grave problema já que esse sistema foi construído dentro das especificações padrões do módulo de segurança da ferramenta e mesmo assim está “aberto”.

Obrigado.

Rodrigo Goulart Padovezzi

  • Expert
  • *****
  • Mensagens: 1045
    • Email
Re:FALHA DE SEGURANÇA
« Responder #1 Online: Fevereiro 02, 2015, 10:36:33 am »
Se tiver habilitado a segurança não deveria aparecer.
Você pode tirar esse resultado do Google em um arquivo chamado robots.txt colocado na raiz do site, colocando o diretório disallow.

dê uma olhada http://www.seomarketing.com.br/robots.txt.php

Assim seu sistema não aparecerá na lista de pesquisa do Google.

Jailton

  • Expert
  • *****
  • Mensagens: 2034
Re:FALHA DE SEGURANÇA
« Responder #2 Online: Fevereiro 02, 2015, 10:58:15 am »
Se tiver habilitado a segurança não deveria aparecer.
Você pode tirar esse resultado do Google em um arquivo chamado robots.txt colocado na raiz do site, colocando o diretório disallow.

dê uma olhada http://www.seomarketing.com.br/robots.txt.php

Assim seu sistema não aparecerá na lista de pesquisa do Google.

Sim uso assim, para bloquear os robôs, mas já tinha visto um zilhão de site em sc de todas as versões listado no google, só faltava a o usuário e senha pra entrar... heeheh
O Princípio da Vibração. "Nada está parado, tudo se move, tudo vibra". Caibalion.

Willian Fernando

  • Expert
  • *****
  • Mensagens: 1148
  • .....
    • Email
Re:FALHA DE SEGURANÇA
« Responder #3 Online: Fevereiro 02, 2015, 11:10:09 am »
Veja na configuração da APP si esta marcado Usa Segurança - na parte de segurança...
Creio que essa opção não vem marcada por Default.. marque ela y volte a publicar seu projeto..


mais o menos isso aqui


http://www.scriptcase.com.br/docs/pt_br/aplicacoes-de-controle/controle/seguranca

Rodrigo Goulart Padovezzi

  • Expert
  • *****
  • Mensagens: 1045
    • Email
Re:FALHA DE SEGURANÇA
« Responder #4 Online: Fevereiro 02, 2015, 12:22:31 pm »
Faça um teste, entre no diretório da aplicação, abra o arquivo nomedoarquivo_ini.txt e confirme a lina 4 se está SIM ou NAO, essa linha refere-se ao uso de segurança na aplicação.

flaviomorais

  • Avançado
  • ****
  • Mensagens: 348
    • Email
Re:FALHA DE SEGURANÇA
« Responder #5 Online: Fevereiro 02, 2015, 08:10:51 pm »
Bom dia.

Eu estava realizando um consulta no Google com o nome de um cliente e por acaso retornou no primeiro resultado um endereço de um sistema que fizemos no SCRIPTCASE V6 para o meu irmão.
Ao clicar no link, tivemos acesso a todos os dados de seu clientes, copiando e colando o link no browser .../appwb/grid_clienteswb/grid_clienteswb.php, a página de cadastro de Clientes é aberta e pode-se manipular todos os dados de seus clientes sem que seja cobrado login.

Como foi feito na versão 6, achamos que poderia ser uma falha de segurança da versão, porém testamos em um aplicação nossa feita na versão 8 e construída com o módulo de segurança padrão, sem customizações.
Se você coloca o link e faz o login como admin ele abre a tela com o usuário no canto.
.../laudonline/app_laudo_Login/app_laudo_Login.php

Porém se você sai do sistema, fecha o browser, limpa o histórico e usa o link do menu abaixo SEM FAZER LOGIN, o sistema abre do mesmo jeito, mesmo sem usuário logado! Ele tem acesso a todo sistema, Inclusive ao cadastro de Usuários!!!
.../laudonline/treemenu_laudo/treemenu_laudo.php

Solicito a sua ajuda para resolver esse grave problema já que esse sistema foi construído dentro das especificações padrões do módulo de segurança da ferramenta e mesmo assim está “aberto”.

Obrigado.


Coloquei uma senha de diretorio no apache, o cliente tem uma senha do escritório dele para depois cair na dos usuários da aplicação, resolvi fazer isso por que não senti muita confiança no esquema de segurança do SC, mas precisava fazer rápido a primeira aplicação SC.