Cuidado com o que você esquece no servidor…
julho 6, 2008 at 11:23 pm 6 comentários
Quem desenvolve sistemas para web sabe que o ambiente de produção nem sempre é aquela maravilha de organização, sempre fica uns arquivos para trás como teste.php, index_antiga.php, naosei.exemplo e etc.
Só que infelizmente o mundo não é tão azul assim e existem pessoas que adoram sacanear as coisas. E o mais fácil de achar são projetos com arquivos esquecidos como por exemplo o famoso connect.inc, con.inc, conectar.inc. Isso já mostra o quanto de sobrinhos(amadores) existem no mercado de sistemas para web, isso reflete a baixa profissionalização de programadores para web e a falta de visão das empresas que ainda pagam esses serviços com a filosofia do “bom e barato”.
Se tem uma coisa que todo programador web deveria saber é que O SEU SISTEMA VAI ESTAR NA INTERNET!!! isso parece óbvio para você? ótimo. Pois para uma grande parte de programadores web não.
Vamos fazer um teste? abre o google ai e busca por isso backup filetype:sql. Viram que maravilha?
Ok. não retornou tanto resultado assim, vamos perder mais 5min estudando a busca do google e vamos pesquisar por “bkp” ext:SQL
Ta ficando mais bonito o negocio num ta não? Agora pensa naquele moleque que não tem o que fazer… fica o dia inteiro na internet tentando achar algo para zuar e começa a pesquisar site por site atras desses lixos no servidor? Você programador sabe que muitos programas geram arquivos de backups dos arquivos que estão sendo construidos, por exemplo o Kwrite gera um nomedoarquivo.php~ do arquivo que você ta programando e muitas vezes você manda pro FTP sem nem saber.
Quer ver que legal? pesquisa isso “index” ext:php~
Fala aí… ta ficando divertido não tá? acho que mais meia hora estudando meios de buscar no google e tenho certeza que vou achar alguma senha de conexão a algum banco de dados.
Como eliminar isso? Conheço três soluções:
- Tomar vergonha na cara duas vezes ao dia. Uma no inicio do expediente e outra no final.
- Usar sempre um controle de versão(svn) e quando você for enviar algo para internet usar o comando svn export projeto projetolimpo que ai vai gerar uma pasta com apenas os arquivos do projeto que foram adicionados ao controle de versão do seu repositório.
- Colocar um arquivo robots.txt na raiz da sua aplicação bloqueando o acesso dos robos das buscas no seus diretórios. Você não sabe o que é o robots.txt? O google sabe.
Essa falha de segurança cometida por muitos programadores é apenas a ponta do iceberg.
6 Comentários Add your own
Deixe um comentário
Trackback this post | Subscribe to the comments via RSS Feed
1.
Rodrigo | julho 7, 2008 às 2:24 am
oi, bunho
2.
Helton Eduardo Ritter | julho 7, 2008 às 11:12 am
hahah, essas aí são clássicas, uma vez eu achei num site bem famoso até um arquivo chamado “index.php.ANTIGO”, legal que deu para ver a estrutura toda da tabela de produtos, os critérios que eles usavam para trazer tal ou outro produto para página inicial… a parte legal é que eles armazenavam a conexão em uma $_SESSION…
Aprendi várias coisas com aquele deslize.
Boa semana cara.
3.
AlquimistaB | julho 8, 2008 às 9:39 pm
fala porkera!
Cara, um negocio q eu tava procurando e nao achei ateh agora eh como q esses crawlers vasculham tds os diretórios e arquivos de um site se o servidor não deixa listar os arquivos???
Vc sabe a resposta?
[]s
4.
PorKaria | julho 10, 2008 às 12:14 am
Felipe,
Eu não sei muito bem como funciona os crawlers.. sei que eles vao futucando em tudo no servidor, não sei as regras para isso.
Tanto que os buscadores(ex. google) aconselham a utilização do robots.txt que la vc diz qual diretorio pode ser lido e quais não ou barrar tudo.
Sei tbm que você pode proteger páginas dos crawlers usando a tag meta do html:
META NAME=”ROBOTS” CONTENT=”NOINDEX, NOFOLLOW”
*essa meta é util para banir aqueles robos feito pelos os spammers que entram nas paginas a procura de e-mail
mais sobre a utilização da meta robots em http://www.robotstxt.org/meta.html
awei!
5.
Sandro J. S. Souza | julho 10, 2008 às 1:23 pm
Legal o seu blog, Bruno!
Adicionei eçe nos meus favoritos e linkei ele lá no meu blog!
Abraço!
6.
porkaria | julho 10, 2008 às 5:58 pm
opa! valeu Sandro
coloquei o link pro seu blog aqui no meu tbm
awei!