Havia um buraco na parede

January 20th, 2004 § 4 comments

Um dia desses atrás eu estava fazendo um favor de programação para um amiga minha que tem uma pequena empresa de marketing e acabei tropeçando numa dessas coisas que mostram como o Windows é muito mais perigoso em termos de segurança que o Linux ou outro sistema operacional decente quando instalado com suas opções padrões.

O favor em questão era a programação de alguns formulários em um site hospedado em um provedor cujo nome não darei, mas que é um dos maiores do Brasil em termos de clientela e infra-estrutura. Em um dado momento, um formulário enviaria um arquivo para o servidor que seria então mandado para um endereço de e-mail específico. Muito simples. Usa-se um componente para receber o arquivo e outro para enviar o e-mail.

O problema é que eu não tinha informações sobre onde colocar o arquivo — era meia-noite e, sem possibilidades de chamar o suporte, decidi descobrir sozinho. Como eu também não sabia de onde o arquivo rodava, optei pela solução mais rápida: causei um erro. Dito e feito, como a maioria das linguagens de programação faz, o ASP mostrou o caminho do arquivo. Até aí, tudo bem. Tentei gravar o arquivo no diretório. Funcionou. Então, tentei outra coisa que, sinceramente, achei que ia falhar: gravar no diretório C:\Temp da máquina em questão. Para meu espanto, funcionou perfeitamente.

Tudo bem, acessar o C:\Temp não é muita coisa, apesar de ser possível tentar alguma coisa mais maliciosa a partir daí. Curioso, decidi tentar acessar o notório C:\WINNT. Por incrível que pareça, esse diretório tem permissões de leitura e escrita para qualquer aplicação ASP rodando no dito servidor. Se isso não é um baita furo de segurança, então não sei o que um furo de segurança é.

Resumo da história: a dita máquina, que é parte de um cluster, pode ser comprometida com o mero uso de uma senha de FTP. Mesmo que o usuário não seja mal intencionado, um descuido de um programador pode torná-la inoperante. Incompetência é dose…

§ 4 Responses to Havia um buraco na parede"

What's this?

You are currently reading Havia um buraco na parede at Superfície Reflexiva.

meta