Falha de segurança no Globo.com


Vários blog´s estão noticiando um falha de segurança no site da G1, o problema é que verificando muitos sites do portal pertencente ao domínio globo.com estão apresentando a mesma falha, pois logicamente utilizam o mesmo sistema de gerenciamento de conteúdo.

Mas qual é mesmo a falha? A falha de segurança é simples e não permite invasão ou execução de código malicioso a partir do domínio da globo.com – pelo menos a princípio, pois já que o sistema é falho ele será explorado ao máximo por seus Internautas – o fato é que os links gerados pelo sistema de conteúdo geram uma seqüência numérica que identifica a notícia a ser exibida e na continuação do link é inserido um descritivo da notícia a fim de melhorar o SEO da página, observe um exemplo:

Esse é o link original:

http://g1.globo.com/Noticias/Economia_Negocios/0,,MUL926260-9356,00-ESPERAR+ORCAMENTO+SEM+CORTE+E+ACREDITAR+EM+PAPAI+NOEL+DIZ+BERNARDO.html

Esse é um link alterado:

http://g1.globo.com/Noticias/Economia_Negocios/0,,MUL926260-9356,00-BERNARDO+DIZ+QUE+ACREDITA+EM+PAPAI+NOEL.html

Pode colocar o link no seu browser e executar, ambos irão apontar para a mesma notícia do canal G1, mas como isso ocorre?

O fato é que o sistema apenas utiliza a numeração para identificar qual a notícia a ser exibida e o resto simplesmente não é verificado nem utilizado pelo sistema e com isso algum usuário mais esperto descobriu e espalho pela Internet. É um erro bobo que apesar de comprometer a imagem do portal G1 a priori não torna o sistema necessáriamente falho a inserção de código.

Mas como onde passa boi, passa boiada…

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.