Cuidado com o que você esquece no servidor…

julho 6, 2008 at 11:23 pm 6 comentários

Quem desenvolve sistemas para web sabe que o ambiente de produção nem sempre é aquela maravilha de organização, sempre fica uns arquivos para trás como teste.php, index_antiga.php, naosei.exemplo e etc.

Só que infelizmente o mundo não é tão azul assim e existem pessoas que adoram sacanear as coisas. E o mais fácil de achar são projetos com arquivos esquecidos como por exemplo o famoso connect.inc, con.inc, conectar.inc. Isso já mostra o quanto de sobrinhos(amadores) existem no mercado de sistemas para web, isso reflete a baixa profissionalização de programadores para web e a falta de visão das empresas que ainda pagam esses serviços com a filosofia do “bom e barato”.

Se tem uma coisa que todo programador web deveria saber é que O SEU SISTEMA VAI ESTAR NA INTERNET!!! isso parece óbvio para você? ótimo. Pois para uma grande parte de programadores web não.

Vamos fazer um teste? abre o google ai e busca por isso backup filetype:sql. Viram que maravilha?

Ok. não retornou tanto resultado assim, vamos perder mais 5min estudando a busca do google e vamos pesquisar por “bkp” ext:SQL

Ta ficando mais bonito o negocio num ta não? Agora pensa naquele moleque que não tem o que fazer… fica o dia inteiro na internet tentando achar algo para zuar e começa a pesquisar site por site atras desses lixos no servidor? Você programador sabe que muitos programas geram arquivos de backups dos arquivos que estão sendo construidos, por exemplo o Kwrite gera um nomedoarquivo.php~ do arquivo que você ta programando e muitas vezes você manda pro FTP sem nem saber.

Quer ver que legal? pesquisa isso “index” ext:php~

Fala aí… ta ficando divertido não tá? acho que mais meia hora estudando meios de buscar no google e tenho certeza que vou achar alguma senha de conexão a algum banco de dados.

Como eliminar isso? Conheço três soluções:

  1. Tomar vergonha na cara duas vezes ao dia. Uma no inicio do expediente e outra no final.
  2. Usar sempre um controle de versão(svn) e quando você for enviar algo para internet usar o comando svn export projeto projetolimpo que ai vai gerar uma pasta com apenas os arquivos do projeto que foram adicionados ao controle de versão do seu repositório.
  3. Colocar um arquivo robots.txt na raiz da sua aplicação bloqueando o acesso dos robos das buscas no seus diretórios. Você não sabe o que é o robots.txt? O google sabe.

Essa falha de segurança cometida por muitos programadores é apenas a ponta do iceberg.

Anúncios

Entry filed under: PHP. Tags: , .

Para que serve o PHPIDS? Freedom Day MS !

6 Comentários Add your own

  • 1. Rodrigo  |  julho 7, 2008 às 2:24 am

    oi, bunho

    Responder
  • 2. Helton Eduardo Ritter  |  julho 7, 2008 às 11:12 am

    hahah, essas aí são clássicas, uma vez eu achei num site bem famoso até um arquivo chamado “index.php.ANTIGO”, legal que deu para ver a estrutura toda da tabela de produtos, os critérios que eles usavam para trazer tal ou outro produto para página inicial… a parte legal é que eles armazenavam a conexão em uma $_SESSION…

    Aprendi várias coisas com aquele deslize.

    Boa semana cara.

    Responder
  • 3. AlquimistaB  |  julho 8, 2008 às 9:39 pm

    fala porkera!

    Cara, um negocio q eu tava procurando e nao achei ateh agora eh como q esses crawlers vasculham tds os diretórios e arquivos de um site se o servidor não deixa listar os arquivos???

    Vc sabe a resposta?

    []s

    Responder
  • 4. PorKaria  |  julho 10, 2008 às 12:14 am

    Felipe,

    Eu não sei muito bem como funciona os crawlers.. sei que eles vao futucando em tudo no servidor, não sei as regras para isso.

    Tanto que os buscadores(ex. google) aconselham a utilização do robots.txt que la vc diz qual diretorio pode ser lido e quais não ou barrar tudo.

    Sei tbm que você pode proteger páginas dos crawlers usando a tag meta do html:

    META NAME=”ROBOTS” CONTENT=”NOINDEX, NOFOLLOW”

    *essa meta é util para banir aqueles robos feito pelos os spammers que entram nas paginas a procura de e-mail

    mais sobre a utilização da meta robots em http://www.robotstxt.org/meta.html

    awei!

    Responder
  • 5. Sandro J. S. Souza  |  julho 10, 2008 às 1:23 pm

    Legal o seu blog, Bruno!

    Adicionei eçe nos meus favoritos e linkei ele lá no meu blog!

    Abraço!

    Responder
  • 6. porkaria  |  julho 10, 2008 às 5:58 pm

    opa! valeu Sandro

    coloquei o link pro seu blog aqui no meu tbm

    awei!

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Trackback this post  |  Subscribe to the comments via RSS Feed


Mudei de endereço

O blog mudou para www.porkaria.com.br

%d blogueiros gostam disto: