Angariar fundos para cobrir os custos logísticos do "Festival da Arte Capoeira" e apoiar o projeto Eu Sou Ninja em sua missão de promover a integração social e cultural na comunidade de Jacaraípe. Com a criação da rifa, buscamos envolver a comunidade de forma ativa no financiamento do evento, permitindo que todos contribuam para o sucesso do festival e para a continuidade das atividades do projeto. Prêmio: Copia da minha biblioteca pessoal de AdvPL/TLpp ..etc Participe da Rifa Eu já contribui. Só falta você! ```cmd Pasta de C:\GitHub\naldodj-tlpp 13/04/2024 19:17 . 19/03/2024 13:49 .. 05/01/2024 12:22 2.742 .gitattributes 14/11/2023 16:02 83 .gitignore 02/12/2023 20:08 .vscode 05/01/2024 12:05 bin 13/04/2024 19:18 4.121 ChangeLog.txt 27/12/2023 02:05 include 14/11/2023 16:02 27.030 LICENSE.txt 14/11/2023 16:02 0 makepatch.lst 14/11/2
Existe um ‘bug’ que permite acessar a base de dados, mesmo que o usuario não tenha acesso ao sistema (ambiente), com cadastro no arquivo de senhas do Protheus. A falha permite acesso total a base de dados através do APSDU com privilégios de Administrador usando uma instalação local para acesso ao servidor alvo. Para isso basta acompanhar os passos indicados abaixo:Passos:
1º Ter o protheus instalado em sua máquina local.
2º Ter acesso ao ambiente, mesmo que seja como usuario normal e com acesso ao campo formulas.
3º Acessar o ambiente que deseja ter acesso aos dados para obter os parametros de acesso seguindo os passos abaixo:
3.1 Acessar o sistema e usando o campo formulas para obter as informacoes abaixo:
Anote as informações obtidas para uso posterior. * Para cada item, de a) à d), executar uma formula de cada vez até obter o valor desejado.
a)Database (Nome do banco configurado no Top)
Formula 1: ApMsgInfo(GetSrvProfString('DBDataBase', 'ERROR' ))
Formula 2: ApMsgInfo(GetSrvProfString('TopDataBase', 'ERROR' ))
Formula 3: ApMsgInfo(GetPvProfString( 'TotvsDbAccess', 'DataBase', 'ERROR', GetAdv97() ))
Formula 4: ApMsgInfo(GetPvProfString( 'TopConnect', 'DataBase', 'ERROR', GetAdv97() ))
b)Alias (Alias do banco definida no ODBC)
Formula 1: ApMsgInfo(GetSrvProfString( 'DBAlias' , 'ERROR'))
Formula 2: ApMsgInfo(GetSrvProfString( 'TopAlias' , 'ERROR'))
Formula 3: ApMsgInfo(GetPvProfString( 'TotvsDbAccess', 'Alias' , 'ERROR', GetAdv97() ))
Formula 4: ApMsgInfo(GetPvProfString( 'TopConnect', 'Alias' , 'ERROR', GetAdv97() ))
c)Server (IP ou nome do servidor definido no INI)
Formula 1: ApMsgInfo(GetSrvProfString( 'DBServer' , 'ERROR' ))
Formula 2: ApMsgInfo(GetSrvProfString( 'TopServer' , 'ERROR' ))
Formula 3: ApMsgInfo(GetPvProfString( 'TotvsDbAccess', 'Server' , 'ERROR', GetAdv97() ))
Formula 4: ApMsgInfo(GetPvProfString( 'TopConnect', 'Server' , 'ERROR', GetAdv97() ))
d)Port (Numero da porta do servidor, por default 7890)
Formula 1: ApMsgInfo(GetSrvProfString( 'DBPort', 'ERROR' ))
Formula 2: ApMsgInfo(GetSrvProfString( 'TopPort', 'ERROR' ))
Formula 3: ApMsgInfo(GetPvProfString( 'TotvsDbAccess', 'Port' , 'ERROR', GetAdv97() ))
Formula 4: ApMsgInfo(GetPvProfString( 'TopConnect', 'Port' , 'ERROR', GetAdv97() ))
Caso não tenha sucesso será exibida a mensagem abaixo:
Em caso de sucesso a mensagem abaixo será exibida com o valor pretendido:
Para prosseguir são necessárias todas as informações:
a)Database: Nome do banco configurado no Top/DBAccess
b)Alias ODBC: Alias para acesso ao banco
c)Server: IP do server Protheus
d)Porta: (default 7890)
Sem qualquer um dos parametros acima nao será possível prosseguir.
4º Acessar o sistema local (Instalação do Protheus em sua máquina)
4.1 Na tela de Splash informar APSDU, como rotina a ser executada,
não alterar informações de ambiente.
Após abrir o APSDU (Local).
a) Acessar o menu arquivo e abrir
b) Escolher o driver de conexão [TopConnect]
c) Informar os parametros obtidos anteriormente para acesso a base de dados
4º Acessar o sistema local (Instalação do Protheus em sua máquina)
4.1 Na tela de Splash informar APSDU, como rotina a ser executada,
não alterar informações de ambiente.
Após abrir o APSDU (Local).
a) Acessar o menu arquivo e abrir
b) Escolher o driver de conexão [TopConnect]
c) Informar os parametros obtidos anteriormente para acesso a base de dados
* Em 'DBMS/Base de dados' informar o resultado obtido com a formula a) concatenando
com o resultado da formula b). Por exemplo, suponhamos que o resultado de a) foi MSSQL
e o resultado de b) ODBC_P11, entao deverá ser informado no campo 'MSSQL/ODBC_P11'E pronto! Todas as tabelas do sistema serão exibidas para seleção.
Dessa forma qualquer pessoa, desde que, na mesma rede e com acesso de usuario normal no ambiente que deseja ter acesso aos dados, poderá acessar com privilégios de admin todos os dados da empresa.
Também é possível executar queries consultando a base de dados, basta configurar os parametros na tela abaixo como descrito no 4º item, citado acima:
Como isso é possível?
Isso é possível devido a arquitetura do Protheus, na figura abaixo é apresentado de forma simplificada a arquitetura de validação de permissão de acessos.
Na figura 1
Isso é possível devido a arquitetura do Protheus, na figura abaixo é apresentado de forma simplificada a arquitetura de validação de permissão de acessos.
Na figura 1
é apresentada a forma normal de acesso onde o Client envia requisições ao Protheus Server, que após validação da permissão de usuário solicita acesso ao BD pelo TopConnect.
Na figura 2
Na figura 2
é apresentada a forma de acesso utilizando uma brecha na arquitetura, onde
o Client ‘impostor’, executa a validação do usuário em seu proprio Protheus Server garantindo
acesso de Administrador e então utilizando os parametros para requisição ao TopConnect de acesso
aos dados.
É evidente a existencia de uma brecha no processo, permitindo acesso a base por um usuario sem
sequer realizar a validação das permissões do mesmo, já que este consegue realizar requisições ao
TopConnect de forma autentica sem distinção da aplicação (Client) requisitante.
o Client ‘impostor’, executa a validação do usuário em seu proprio Protheus Server garantindo
acesso de Administrador e então utilizando os parametros para requisição ao TopConnect de acesso
aos dados.
É evidente a existencia de uma brecha no processo, permitindo acesso a base por um usuario sem
sequer realizar a validação das permissões do mesmo, já que este consegue realizar requisições ao
TopConnect de forma autentica sem distinção da aplicação (Client) requisitante.
Este post não tem como objetivo desmerecer o produto, mas sim elucidar essa falha que pode estar sendo explorada. Esperamos então que sejam tomadas as devidas providencias a fim de sanar o problema.
[]’s
ÓTIMO POST
ResponderExcluirInfelizmente a Totvs não demonstra interesse em acabar com as brechas, como se explora-las não fosse interessante a ninguém.
Digo isto pois encontrei brechas no FTP da Totvs(cloud), onde abri chamado informando todo processo e nada foi feito para arrumar.
Espero que a Totvs veja a importância de corrigir estas falhas pois ao contrário do que eles pensam, pode existir pessoas mal intensionadas prontas para se aproveitar.
Para contornar esta falha seria interessante criar regras no firewall do servidor para permitir conexões de entrada apenas de maquinas previamente autorizadas.
ResponderExcluir