MÉTODO
o site é é um módulo de acesso para contas online, chamado Embratel online:
***SNIP***
Por ironia, o site utiliza o SECURE HTTP, para impedir a perda de informações sigilosas. Utilize o internet Explorer, pois o Desenvolvedor "engessou" os usuários, não se deu o trabalho de permitir que usuários de browsers alternativos (e bem melhores) possam acessar o site.
Obs.: não testei com todos os browsers!
Na parte superior, o site pede usuário e senha para entrar, entre com este aqui, para servir de exemplo (peguei aleatoriamente dentro do próprio site, com o usuário da empresa em que trabalho).
usuário: ***SNIP***
senha: ***SNIP***
Após o logon, na tela que aparece, no lado esquerdo da tela, clique em "Cadastrar Usuário" e depois em "Listar Usuários"
Abre-se uma tela em que numa combo box escolhemos o tipo de Filtro, coloca o tipo "Empresa"
Digite agora ao lado o nome ou uma parte do nome fantasia de uma empresa que vc gostaria de consultar a conta;
por exemplo, eu digitei "data" e cliquei na seta para buscar.
Daí aparece todas as empresa que contém "data" no nome.
Daí, abaixo, aparece os nomes dos usuários cadastrados para cada empresa. Agora é simples, escolha a empresa que você quer acessar a conta, anote o LOGIN do usuário que está cadastrado para esta empresa e volte na tela inicial. Digite o login que vc anotou e na senha coloque EXATAMENTE igual ao login anotado. bimba, vc entrou na conta da empresa cliente da Embratel, pode ver os serviços que a empresa contratou, quanto ela gasta de telefonia, pra onde são as ligações que ela faz, o número de destino, quando ligou, quanto ligou, etc.
A vulnerabilidade não é tão grave, pois somente expõe dados da conta telefônica das empresas afetadas. A princípio não é possível utilizar tais conexões para prejudicar os clientes da Embratel, pois se trata de um site de consulta de contas online.
SOLUÇÃO
O grande problema é permitir gerar um novo usuário sem pedir para que o administrador da conta estabeleça uma senha. A senha, logo após a criação do usuário, é exatamente igual ao usuário.
Para corrigir este problema, é simples:
1º passo: impedir que o site gere a senha automaticamente. Quem tem que definir a senha do novo usuário cadastrado é quem está cadastrando o mesmo.
2º passo: impedir que seja possível listar "todos" os clientes da Embratel empresas nos links "listar usuários" e "listar empresas". Restringir a listagem para o CNPJ logado no momento, e não para outros CNPJs.
Fonte " ISTF
o site é é um módulo de acesso para contas online, chamado Embratel online:
***SNIP***
Por ironia, o site utiliza o SECURE HTTP, para impedir a perda de informações sigilosas. Utilize o internet Explorer, pois o Desenvolvedor "engessou" os usuários, não se deu o trabalho de permitir que usuários de browsers alternativos (e bem melhores) possam acessar o site.
Obs.: não testei com todos os browsers!
Na parte superior, o site pede usuário e senha para entrar, entre com este aqui, para servir de exemplo (peguei aleatoriamente dentro do próprio site, com o usuário da empresa em que trabalho).
usuário: ***SNIP***
senha: ***SNIP***
Após o logon, na tela que aparece, no lado esquerdo da tela, clique em "Cadastrar Usuário" e depois em "Listar Usuários"
Abre-se uma tela em que numa combo box escolhemos o tipo de Filtro, coloca o tipo "Empresa"
Digite agora ao lado o nome ou uma parte do nome fantasia de uma empresa que vc gostaria de consultar a conta;
por exemplo, eu digitei "data" e cliquei na seta para buscar.
Daí aparece todas as empresa que contém "data" no nome.
Daí, abaixo, aparece os nomes dos usuários cadastrados para cada empresa. Agora é simples, escolha a empresa que você quer acessar a conta, anote o LOGIN do usuário que está cadastrado para esta empresa e volte na tela inicial. Digite o login que vc anotou e na senha coloque EXATAMENTE igual ao login anotado. bimba, vc entrou na conta da empresa cliente da Embratel, pode ver os serviços que a empresa contratou, quanto ela gasta de telefonia, pra onde são as ligações que ela faz, o número de destino, quando ligou, quanto ligou, etc.
A vulnerabilidade não é tão grave, pois somente expõe dados da conta telefônica das empresas afetadas. A princípio não é possível utilizar tais conexões para prejudicar os clientes da Embratel, pois se trata de um site de consulta de contas online.
SOLUÇÃO
O grande problema é permitir gerar um novo usuário sem pedir para que o administrador da conta estabeleça uma senha. A senha, logo após a criação do usuário, é exatamente igual ao usuário.
Para corrigir este problema, é simples:
1º passo: impedir que o site gere a senha automaticamente. Quem tem que definir a senha do novo usuário cadastrado é quem está cadastrando o mesmo.
2º passo: impedir que seja possível listar "todos" os clientes da Embratel empresas nos links "listar usuários" e "listar empresas". Restringir a listagem para o CNPJ logado no momento, e não para outros CNPJs.
Fonte " ISTF
Comment