FALHA DE SEGURANÇA

acombat · Abril 16, 2019, 12:45am

Bom dia.

Eu estava realizando um consulta no Google com o nome de um cliente e por acaso retornou no primeiro resultado um endereço de um sistema que fizemos no SCRIPTCASE V6 para o meu irmão.
Ao clicar no link, tivemos acesso a todos os dados de seu clientes, copiando e colando o link no browser …/appwb/grid_clienteswb/grid_clienteswb.php, a página de cadastro de Clientes é aberta e pode-se manipular todos os dados de seus clientes sem que seja cobrado login.

Como foi feito na versão 6, achamos que poderia ser uma falha de segurança da versão, porém testamos em um aplicação nossa feita na versão 8 e construída com o módulo de segurança padrão, sem customizações.
Se você coloca o link e faz o login como admin ele abre a tela com o usuário no canto.
…/laudonline/app_laudo_Login/app_laudo_Login.php

Porém se você sai do sistema, fecha o browser, limpa o histórico e usa o link do menu abaixo SEM FAZER LOGIN, o sistema abre do mesmo jeito, mesmo sem usuário logado! Ele tem acesso a todo sistema, Inclusive ao cadastro de Usuários!!!
…/laudonline/treemenu_laudo/treemenu_laudo.php

Solicito a sua ajuda para resolver esse grave problema já que esse sistema foi construído dentro das especificações padrões do módulo de segurança da ferramenta e mesmo assim está “aberto”.

Obrigado.

system · Abril 16, 2019, 12:45am

Se tiver habilitado a segurança não deveria aparecer.
Você pode tirar esse resultado do Google em um arquivo chamado robots.txt colocado na raiz do site, colocando o diretório disallow.

dê uma olhada http://www.seomarketing.com.br/robots.txt.php

Assim seu sistema não aparecerá na lista de pesquisa do Google.

Jailton · Abril 16, 2019, 12:45am

Sim uso assim, para bloquear os robôs, mas já tinha visto um zilhão de site em sc de todas as versões listado no google, só faltava a o usuário e senha pra entrar… heeheh

willian_fernando · Abril 16, 2019, 12:45am

Veja na configuração da APP si esta marcado Usa Segurança - na parte de segurança…
Creio que essa opção não vem marcada por Default… marque ela y volte a publicar seu projeto…

mais o menos isso aqui

http://www.scriptcase.com.br/docs/pt_br/aplicacoes-de-controle/controle/seguranca

system · Abril 16, 2019, 12:45am

Faça um teste, entre no diretório da aplicação, abra o arquivo nomedoarquivo_ini.txt e confirme a lina 4 se está SIM ou NAO, essa linha refere-se ao uso de segurança na aplicação.

flaviomorais · Abril 16, 2019, 12:45am

adrianacombat:

Bom dia.

Eu estava realizando um consulta no Google com o nome de um cliente e por acaso retornou no primeiro resultado um endereço de um sistema que fizemos no SCRIPTCASE V6 para o meu irmão.
Ao clicar no link, tivemos acesso a todos os dados de seu clientes, copiando e colando o link no browser …/appwb/grid_clienteswb/grid_clienteswb.php, a página de cadastro de Clientes é aberta e pode-se manipular todos os dados de seus clientes sem que seja cobrado login.

Como foi feito na versão 6, achamos que poderia ser uma falha de segurança da versão, porém testamos em um aplicação nossa feita na versão 8 e construída com o módulo de segurança padrão, sem customizações.
Se você coloca o link e faz o login como admin ele abre a tela com o usuário no canto.
…/laudonline/app_laudo_Login/app_laudo_Login.php

Porém se você sai do sistema, fecha o browser, limpa o histórico e usa o link do menu abaixo SEM FAZER LOGIN, o sistema abre do mesmo jeito, mesmo sem usuário logado! Ele tem acesso a todo sistema, Inclusive ao cadastro de Usuários!!!
…/laudonline/treemenu_laudo/treemenu_laudo.php

Solicito a sua ajuda para resolver esse grave problema já que esse sistema foi construído dentro das especificações padrões do módulo de segurança da ferramenta e mesmo assim está “aberto”.

Obrigado.

Coloquei uma senha de diretorio no apache, o cliente tem uma senha do escritório dele para depois cair na dos usuários da aplicação, resolvi fazer isso por que não senti muita confiança no esquema de segurança do SC, mas precisava fazer rápido a primeira aplicação SC.