Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Falha grotesca de segurança - site Embratel (Ainda nao corrigido)

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Falha grotesca de segurança - site Embratel (Ainda nao corrigido)

    MÉTODO

    o site é é um módulo de acesso para contas online, chamado Embratel online:

    ***SNIP***

    Por ironia, o site utiliza o SECURE HTTP, para impedir a perda de informações sigilosas. Utilize o internet Explorer, pois o Desenvolvedor "engessou" os usuários, não se deu o trabalho de permitir que usuários de browsers alternativos (e bem melhores) possam acessar o site.

    Obs.: não testei com todos os browsers!

    Na parte superior, o site pede usuário e senha para entrar, entre com este aqui, para servir de exemplo (peguei aleatoriamente dentro do próprio site, com o usuário da empresa em que trabalho).

    usuário: ***SNIP***
    senha: ***SNIP***

    Após o logon, na tela que aparece, no lado esquerdo da tela, clique em "Cadastrar Usuário" e depois em "Listar Usuários"

    Abre-se uma tela em que numa combo box escolhemos o tipo de Filtro, coloca o tipo "Empresa"

    Digite agora ao lado o nome ou uma parte do nome fantasia de uma empresa que vc gostaria de consultar a conta;

    por exemplo, eu digitei "data" e cliquei na seta para buscar.

    Daí aparece todas as empresa que contém "data" no nome.

    Daí, abaixo, aparece os nomes dos usuários cadastrados para cada empresa. Agora é simples, escolha a empresa que você quer acessar a conta, anote o LOGIN do usuário que está cadastrado para esta empresa e volte na tela inicial. Digite o login que vc anotou e na senha coloque EXATAMENTE igual ao login anotado. bimba, vc entrou na conta da empresa cliente da Embratel, pode ver os serviços que a empresa contratou, quanto ela gasta de telefonia, pra onde são as ligações que ela faz, o número de destino, quando ligou, quanto ligou, etc.

    A vulnerabilidade não é tão grave, pois somente expõe dados da conta telefônica das empresas afetadas. A princípio não é possível utilizar tais conexões para prejudicar os clientes da Embratel, pois se trata de um site de consulta de contas online.

    SOLUÇÃO

    O grande problema é permitir gerar um novo usuário sem pedir para que o administrador da conta estabeleça uma senha. A senha, logo após a criação do usuário, é exatamente igual ao usuário.

    Para corrigir este problema, é simples:

    1º passo: impedir que o site gere a senha automaticamente. Quem tem que definir a senha do novo usuário cadastrado é quem está cadastrando o mesmo.

    2º passo: impedir que seja possível listar "todos" os clientes da Embratel empresas nos links "listar usuários" e "listar empresas". Restringir a listagem para o CNPJ logado no momento, e não para outros CNPJs.

    Fonte " ISTF



    sigpic


    "O GH é um forum de estudos e nada mais, cada um é responsavel por seus atos "

  • Font Size
    #2
    Muito bom cara! essa eu não sabia, vlw pela colaboração!

    Comment

    X
    Working...
    X