Ir para o conteúdo

Banco de Talentos > Histórico de Fóruns > Banco de Talentos Desenvolvimento > Segurança
Histórico de Fóruns
 Voltar a Banco de Tal...
Tela cheia

Segurança

21 de Maio de 2014, 23:09 , por Desconhecido - | Ninguém seguindo este artigo por enquanto.
Visualizado 20 vezes

Seria muito importante reforçar a segurança do sistema. Um dia desse estava procurando info de um pessoa na net. E acabei achando o currículo dela em uma pasta de um site que estava com a permissão aberta.

 

Antonio Carlos

www.desentupirr.com 

Autor: Antonio Carlos Junior


1Um comentário

  • F24dd96a3b3343b99b684fc44d2e5b71?only path=false&size=50&d=404Luciano Dias(usuário não autenticado)
    22 de Maio de 2014, 12:08

     

    Bom dia, Antonio Carlos,

    Esse é um assunto que considero bastante importante e merece nossos esforços para tentar resolver qualquer problema de segurança.

    Entretanto, preciso de maiores detalhes do que você encontrou e como encontrou para iniciar as análises para saber se o problema está relacionado diretamente com o sistema Banco de Talentos ou se é uma questão fora do nosso alcance.

    Peço que você responda às seguintes questões:

    1) Você disse que encontrou o currículo em uma pasta, certo? Suponho, então que era um arquivo. Se for isso mesmo, qual o formato do arquivo (.doc, .html, .pdf, . txt)?

    2) Não precisa citar o site, mas você poderia dizer em qual pasta estava esse arquivo? Se possível, diga também o nome do arquivo.

    Estou fazendo as perguntas acima para determinar se o arquivo em questão foi realmente gerado pelo sistema Banco de Talentos e se ele estava em uma pasta do servidor de aplicação, pois normalmente o sistema não tem necessidade de gerar os currículos no sistema de arquivos: ele constrói o currículo na memória e repassa as informações diretamente para o navegador do cliente (depois que o currículo chega na máquina do usuário, nós não temos mais como interferir, ou seja, restringir para que ele não salve o currículo ou tire uma foto ou utilize um programa de captura de tela, ...).

    Sei que não é o foco, mas se você teve acesso ao currículo e ele estava no sistema de arquivos do servidor, você poderia ter acessado vários outros arquivos com informações críticas, incluindo aquele com informações do usuário e senha de conexão com o banco de dados. O servidor que você acessou deveria ter sido configurado para não permitir a navegação das pastas do sistema de arquivos.

    Pelas informações que tenho até agora, parece que um usuário salvou esse currículo no sistema de arquivos do servidor que estava configurado para permitir a navegação nas pastas do sistema de arquivos.

    Entretanto, peço que nos repasse qualquer informação adicional que tiver para que possamos analisar se existe qualquer brecha de segurança na aplicação.

    Um abraço,

    Luciano.

Essa comunidade não possui posts nesse blog