Falha de segurança no Globo.com
Vários blog´s estão noticiando um falha de segurança no site da G1, o problema é que verificando muitos sites do portal pertencente ao domínio globo.com estão apresentando a mesma falha, pois logicamente utilizam o mesmo sistema de gerenciamento de conteúdo.
Mas qual é mesmo a falha? A falha de segurança é simples e não permite invasão ou execução de código malicioso a partir do domínio da globo.com – pelo menos a princípio, pois já que o sistema é falho ele será explorado ao máximo por seus Internautas – o fato é que os links gerados pelo sistema de conteúdo geram uma seqüência numérica que identifica a notícia a ser exibida e na continuação do link é inserido um descritivo da notícia a fim de melhorar o SEO da página, observe um exemplo:
Esse é o link original:
http://g1.globo.com/Noticias/Economia_Negocios/0,,MUL926260-9356,00-ESPERAR+ORCAMENTO+SEM+CORTE+E+ACREDITAR+EM+PAPAI+NOEL+DIZ+BERNARDO.html
Esse é um link alterado:
http://g1.globo.com/Noticias/Economia_Negocios/0,,MUL926260-9356,00-BERNARDO+DIZ+QUE+ACREDITA+EM+PAPAI+NOEL.html
Pode colocar o link no seu browser e executar, ambos irão apontar para a mesma notícia do canal G1, mas como isso ocorre?
O fato é que o sistema apenas utiliza a numeração para identificar qual a notícia a ser exibida e o resto simplesmente não é verificado nem utilizado pelo sistema e com isso algum usuário mais esperto descobriu e espalho pela Internet. É um erro bobo que apesar de comprometer a imagem do portal G1 a priori não torna o sistema necessáriamente falho a inserção de código.
Mas como onde passa boi, passa boiada…