Suporte não-oficial ao OcoMon

Criado e mantido por usuários para usuários
 
InícioInício  PortalPortal  CalendárioCalendário  FAQFAQ  BuscarBuscar  MembrosMembros  GruposGrupos  Registrar-seRegistrar-se  Conectar-se  
Últimos assuntos
» FeedBack do usuario
Sex Jul 07, 2017 8:25 am por vafonseca

» Paramentrização Ocomon
Sex Maio 05, 2017 12:51 pm por cristiano.barbosa

» Erro OCOMON perfil criado não aparece
Qua Maio 03, 2017 12:29 pm por rodrigo.guimaraes

» Ocomon não conecta a base apos Servidor Desligar sozinho [Resolvido]
Ter Abr 25, 2017 5:25 pm por leonardocr

» Tela em branco após login no navegador IE
Ter Abr 11, 2017 8:52 am por FabioRK

» [Resolvido] Assentamento no Relatório
Sex Fev 17, 2017 12:39 pm por renatomdm

» Upload de base de dados com 2 Gb
Qua Fev 08, 2017 12:07 pm por alex.xavier

» Grupo Ocomon no telegram
Seg Jan 02, 2017 12:07 pm por leandroz3ta

» Fazer Insert de Area e Problemas
Qui Dez 29, 2016 12:58 pm por FabioRK


Compartilhe | 
 

 Vulnerabilidades

Ver o tópico anterior Ver o tópico seguinte Ir em baixo 
AutorMensagem
leandrocastor



Mensagens : 17
Data de inscrição : 06/06/2011

MensagemAssunto: Vulnerabilidades   Qua Abr 25, 2012 4:16 pm

Boa tarde,

Utilizo ocomon 2.0RC6 e rodei um software para verificar algumas vulnerabilidades, preciso de ajuda para corrigir as vulnerabilidades abaixo:


Autocomplete Habilitado

Autocomplete deve ser desabilitada ( autocomplete = "off" ), sobretudo nas formas que processam dados sensíveis, tais como formulários com campos de senha, uma vez que um atacante, se for capaz de acessar o cache do navegador, poderia facilmente obter as informações armazenadas em cache em formato texto plano.

solução: Desativar o recurso de autocompletar ( autocomplete = "off" ), em formas que podem armazenar dados sensíveis.

url: http://xxxxxxx.xxxx.xxxx.xxx/index.php

forma: <método forma = "POST" action = "http://xxxxxxx.xxxx.xxxx.xxx/includes/common/login.php?b8otc86r99j18dli9qf8gv5ct2" enctype = "application / x-www-form-urlencoded" autocomplete = " em "> ... </ Form>






SQL Injection

SQL Injection (SQLI) é uma técnica de injeção de código que explora uma vulnerabilidade de segurança que ocorrem na camada de banco de dados de uma aplicação web. A vulnerabilidade estava presente quando a entrada do usuário ou foi incorretamente filtrado para caracteres de string literais de escape embutidas em instruções SQL ou a entrada do usuário não foi fortemente digitados e, assim, inesperadamente executado.

solução: Sanitize todos os dados fornecidos pelo usuário antes de usá-lo como parte de consultas de banco de dados.

banco de dados: MySQL

pedido:

POST http://xxxxxxx.xxxx.xxxx.xxx/includes/common/login.php?b8otc86r99j18dli9qf8gv5ct2 HTTP/1.1 Content-Type: application / x-www-form-urlencoded senha e login = '% 60% 22z0VT7
Voltar ao Topo Ir em baixo
Ver perfil do usuário
 
Vulnerabilidades
Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo 
Página 1 de 1

Permissão deste fórum:Você não pode responder aos tópicos neste fórum
Suporte não-oficial ao OcoMon :: Sua primeira categoria :: GERAL-
Ir para: