Escolar Documentos
Profissional Documentos
Cultura Documentos
Vulnerabilidades
Sistemas - Parte 1
Índice STATUS: LANÇADO ANDAMENTO CORRIGIDO
Descrição do problema: Uma vez logado no ABNT Catálogo é possível acessar informações de
outros pedidos e usuários, incluindo os orçamentos em andamento. O impacto dessa vulnerabilidade
é alto para o negócio ABNT.
1- Acessar www.abntcatalogo.com.br
7- Alterando o ID será dado acesso aos pedidos que não são os meus
Descrição do problema: Usuário e senha ficam “armazenados” nos forms de login dos aplicativos
permitindo que qualquer pessoa com acesso à maquina faça login. O ideal é que o usuário seja
obrigado a digitar usuário e senha a cada acesso.
Recomendação: desabilitar o auto-complete nas telas de login de todos os
sistemas. Existe alguma discussão na internet sobre como fazer isso.
Possibilidade 1: desabilitar o auto-complete nos inputs de usuário e senha
Ver: https://developer.mozilla.org/pt-BR/docs/Web/Security/Securing_your_site/Turning_off_form_autocompletion
3 Vulnerabilidade - Login pelo Método da Força Bruta
Descrição do problema: Um dos métodos utilizados para a invasão de sistemas é a força bruta onde
o invasor tenta automaticamente milhões de combinações de senhas até conseguir a correta. Abaixo
está o resultado do scan feito com o Acunetix no www.abntcatalogo.com.br para a vulnerabilidade.
Ver: Blocking Brute Force Attacks - https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks
Importante: A OWASP - The Open Web Application Security Project (www.owasp.org) é uma excelente
fonte de informação sobre segurança da informação
Obs: como existem vários sistemas internos e cada um tem a sua própria tela de
login, o trabalho teria que ser replicado várias vezes. Uma possibilidade seria
criar algum tipo de shell com login único para acesso aos vários sistemas.
4 Vulnerabilidade - Páginas de Erro que exibem informações do Sistema
Acesso: http://www.abntonline.com.br/CERTO
Acesso: http://www.abntonline.com.br/CRM4
Acesso: http://www.abntonline.com.br/cadastro
Acesso: http://www.abntonline.com.br/fabrica
Acesso: http://www.abntonline.com.br/curso
Acesso: http://www.abntonline.com.br/consultanacional
Acesso: http://www.abntonline.com.br/consultanacional
Acesso: http://www.abntonline.com.br/nit