Suporte não-oficial ao OcoMon

Criado e mantido por usuários para usuários
 
InícioInício  PortalPortal  CalendárioCalendário  FAQFAQ  BuscarBuscar  MembrosMembros  GruposGrupos  Registrar-seRegistrar-se  Conectar-se  
Últimos assuntos
» FeedBack do usuario
Sex Jul 07, 2017 8:25 am por vafonseca

» Paramentrização Ocomon
Sex Maio 05, 2017 12:51 pm por cristiano.barbosa

» Erro OCOMON perfil criado não aparece
Qua Maio 03, 2017 12:29 pm por rodrigo.guimaraes

» Ocomon não conecta a base apos Servidor Desligar sozinho [Resolvido]
Ter Abr 25, 2017 5:25 pm por leonardocr

» Tela em branco após login no navegador IE
Ter Abr 11, 2017 8:52 am por FabioRK

» [Resolvido] Assentamento no Relatório
Sex Fev 17, 2017 12:39 pm por renatomdm

» Upload de base de dados com 2 Gb
Qua Fev 08, 2017 12:07 pm por alex.xavier

» Grupo Ocomon no telegram
Seg Jan 02, 2017 12:07 pm por leandroz3ta

» Fazer Insert de Area e Problemas
Qui Dez 29, 2016 12:58 pm por FabioRK


Compartilhe | 
 

 Falha de segurança - SQl Injection.

Ver o tópico anterior Ver o tópico seguinte Ir em baixo 
AutorMensagem
gadu



Mensagens : 1
Data de inscrição : 11/11/2013

MensagemAssunto: Falha de segurança - SQl Injection.   Seg Nov 11, 2013 3:51 pm

Boa tarde,

Pesquisando sobre vulnerabilidades no ocomon, achei um video na internet que mostra o mesmo sendo invadido facilmente por um usuário.

A vulnerabilidade afeta até a ultima versão do Ocomon.

Segue abaixo o video em questão:



Além dessa falha, ainda existem outras que foram apontadas por um Scanner chamado acunetix, que eu mesmo fiz a varredura.

Existe algum conhecimento sobre este problema? Procurei no forum e não encontrei nada.
Voltar ao Topo Ir em baixo
Ver perfil do usuário
FabioRK

avatar

Mensagens : 371
Data de inscrição : 14/09/2009
Idade : 37
Localização : Carazinho - RS

MensagemAssunto: Re: Falha de segurança - SQl Injection.   Ter Nov 12, 2013 9:26 pm

Para "remediar" a questão de SQL Injection no login abra o arquivo
/ocomon/includes/functions/funcoes.inc.
procure pelas funções senha_system e senha_ldap e ajuste:
Código:
function senha_system($user,$password,$tabela)
{
 //Tratamento do usuario
 $user=strtr($user, "'", "*");
 
//Tratamento da senha
 $password=strtr($password, "'", "*");

 // $user = usuário para login, $senha = senha do usuário, $tabela = nome da tabela de usuários
 $login = md5($password);

 $query = "SELECT * FROM ".$tabela." WHERE (login = '".$user."' and password = '".$login."')";
Código:
function senha_ldap($user,$password,$tabela)
{
 //Tratamento do usuario
 $user=strtr($user, "'", "*");
 
//Tratamento da senha
 $password=strtr($password, "'", "*");

 // $user = usuário para login, $senha = senha do usuário, $tabela = nome da tabela de usuários
 $login = md5($password);
 
$query = "SELECT * FROM ".$tabela." WHERE (login = '".$user."')";
Primeiramente seria isso. Irá substituir a aspa simples ' por *.
Voltar ao Topo Ir em baixo
Ver perfil do usuário
FabioRK

avatar

Mensagens : 371
Data de inscrição : 14/09/2009
Idade : 37
Localização : Carazinho - RS

MensagemAssunto: Re: Falha de segurança - SQl Injection.   Dom Jun 29, 2014 11:28 pm

Para quem está utilizando o Ocomon é aconselhável fazer esse procedimento acima.
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Conteúdo patrocinado




MensagemAssunto: Re: Falha de segurança - SQl Injection.   

Voltar ao Topo Ir em baixo
 
Falha de segurança - SQl Injection.
Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo 
Página 1 de 1
 Tópicos similares
-
» Câmera de Segurança flagra... Alguma coisa na Indonésia
» Logs de segurança
» [Resolvido] Código de segurança no registro
» JOGOS A VENDA NO MERCADO LIVRE - SEGURANÇA NA COMPRA
» Aumentar a segurança do meu fórum

Permissão deste fórum:Você não pode responder aos tópicos neste fórum
Suporte não-oficial ao OcoMon :: Sua primeira categoria :: GERAL :: Instalação-
Ir para: