Mateus Del Bianco

Os tempos mudaram, a tecnologia evoluiu, e com ela também evoluíram os métodos para teste de segurança. A técnica utilizada há um tempo atrás, de proteger algo pelo fato de ninguém saber como funciona internamente, hoje não dá mais certo. E é impressionante como grandes empresas, como a Microsiga, ainda apostam na Segurança por Obscuridade.

Há uma semana atrás, a Microsiga resolveu implantar seu próprio sistema de Nota Fiscal Eletrônica, a popular NF-e. Mandaram um e-mail para todos os clientes, dizendo para clicar no link para acessar os dados. O problema estava no endereço do link (http://nfe.totvs.com.br/emp00/GU00xxxxUNE.HTM), onde não havia nenhuma proteção contra acessar notas fiscais de outros clientes. Era só trocar o número do arquivo de 0001 à 1859, que qualquer um poderia ver as notas de qualquer empresa.

Esse problema poderia ser simplesmente solucionado acrescentando alguns caracteres randômicos no nome de cada arquivo, por exemplo, GU000001UNE-09fbc20cb30230be8d.htm. Assim, só trocando o número da nota não seria suficiente para acessar outras notas, seria necessário também acertar os caracteres.

Problemas como esse acontecem em qualquer software. Nunca confie que seu usuário é leigo o suficiente para não tentar esse tipo de coisa. E é claro que, o problema acima foi comunicado à Microsiga, que retirou imediatamente o site do ar.

Esse post foi publicado de quinta-feira, 21 de setembro de 2006 às 1:52, e arquivado em Microsiga, Segurança. Você pode acompanhar os comentários desse post através do feed RSS 2.0. Você pode comentar ou mandar um trackback do seu site pra cá.