Olá do Serpro
-
17 de Dezembro de 2014 às 16:20Olá pessoal!
Sou funcionário do Serpro, da equipe técnica responsável pelos softwares do
projeto Cidades Digitais. Há pouco tempo atrás recebemos a tarefa de
analisar a solução e-Sic livre.
Nessa análise do código fonte (disponibilizado no Portal SPB) e do sistema
em uso, encontramos alguns pequenos bugs e a falta de uma solução de
segurança para ataques tipo Sql Injection. Como está isso? Como podemos
ajudar?
Gostaria de parabenizar a equipe de Natal pela solução e-Sic Livre e a
equipe do MPOG pelo novo portal do SPB.
Abraços,
Lucas Alberto S. Santos
SERPRO - Serviço Federal de Processamento de Dados
Divisão de Desenvolvimento Projeto Cidades Digitais -
CEAGO/COSES/COSLI/CODEC
(51)21291169 / (51)93395850 -
17 de Dezembro de 2014 às 17:44Olá, Lucas!
Eu realizei os testes na CGU (sou da área de fomento ao controle social, não da TI) e estou propondo algumas soluções para os problemas encontrados àquela época. A possibilidade injeção de SQL continua, e me parece que, havendo disponibilidade sua, uma contribuição nesse sentido seria bem-vinda. Pelo que entendi do SPB (não pude assistir ao seminário, porque estava bloqueado aqui na CGU), a idéia seria de que o pessoal da SEMPLA/Natal responderia principalmente como gestor do repositório, mais que propriamente como desenvolvedor. Por favor, me corrijam se eu estiver errado!
Atenciosamente,
[cid:image001.jpg@01D01A10.54C797F0]
De: e-sic-livre-bounces@listas.softwarepublico.gov.br [mailto:e-sic-livre-bounces@listas.softwarepublico.gov.br] Em nome de Lucas Alberto
Enviada em: quarta-feira, 17 de dezembro de 2014 14:20
Para: e-sic-livre@listas.softwarepublico.gov.br
Assunto: [E-sic-livre] Olá do SerproOlá pessoal!Sou funcionário do Serpro, da equipe técnica responsável pelos softwares do projeto Cidades Digitais. Há pouco tempo atrás recebemos a tarefa de analisar a solução e-Sic livre.
Nessa análise do código fonte (disponibilizado no Portal SPB) e do sistema em uso, encontramos alguns pequenos bugs e a falta de uma solução de segurança para ataques tipo Sql Injection. Como está isso? Como podemos ajudar?
Gostaria de parabenizar a equipe de Natal pela solução e-Sic Livre e a equipe do MPOG pelo novo portal do SPB.Abraços,
Lucas Alberto S. Santos
SERPRO - Serviço Federal de Processamento de DadosDivisão de Desenvolvimento Projeto Cidades Digitais - CEAGO/COSES/COSLI/CODEC(51)21291169 / (51)93395850 -
17 de Dezembro de 2014 às 18:19Prezados colegas, boa tarde.
Agradecer aqui a contribuição do Leandro, tem feito a analise do e-sic e feito
observações importantes para o melhoramento da solução.
Ao colega do SERPRO que contribuiu no relatório de analise da solução, nos
recebemos aqui e implementamos as soluções de curto prazo, mas lucas, não
desenvolvemos nenhuma ação na injeção de SQL uma contribuição seria maravilhosa nesse
sentido. Não por falta de vontade, mas pela dificuldade de mão de obra e devido as
prioridades.
Você poderia contribuir nessa ação?
Afonso Leirias
On Wed, 17 Dec 2014 17:44:46 +0000, Leandro Arndt wrote> Olá, Lucas!
>
> Eu realizei os testes na CGU (sou da área de fomento ao controle social, não
> da TI) e estou propondo algumas soluções para os problemas encontrados àquela
> época. A possibilidade injeção de SQL continua, e me parece que, havendo
> disponibilidade sua, uma contribuição nesse sentido seria bem-vinda. Pelo que
> entendi do SPB (não pude assistir ao seminário, porque estava bloqueado aqui
> na CGU), a idéia seria de que o pessoal da SEMPLA/Natal responderia
> principalmente como gestor do repositório, mais que propriamente como
> desenvolvedor. Por favor, me corrijam se eu estiver errado!
>
> Atenciosamente,
>
> [cid:image001.jpg@01D01A10.54C797F0]
>
> De: e-sic-livre-bounces@listas.softwarepublico.gov.br [mailto:e-sic-livre-
> bounces@listas.softwarepublico.gov.br] Em nome de Lucas Alberto
Enviada em:
> quarta-feira, 17 de dezembro de 2014 14:20
Para: e-sic-
> livre@listas.softwarepublico.gov.br
Assunto: [E-sic-livre] Olá do Serpro
>
> Olá pessoal!
> Sou funcionário do Serpro, da equipe técnica responsável pelos softwares do
> projeto Cidades Digitais. Há pouco tempo atrás recebemos a tarefa de analisar
> a solução e-Sic livre.
Nessa análise do código fonte (disponibilizado no
> Portal SPB) e do sistema em uso, encontramos alguns pequenos bugs e a falta de
> uma solução de segurança para ataques tipo Sql Injection. Como está isso?
> Como podemos ajudar?
Gostaria de parabenizar a equipe de Natal pela solução e-
> Sic Livre e a equipe do MPOG pelo novo portal do SPB.
>
> Abraços,
> Lucas Alberto S. Santos
> SERPRO - Serviço Federal de Processamento de Dados
> Divisão de Desenvolvimento Projeto Cidades Digitais - CEAGO/COSES/COSLI/CODEC
> (51)21291169 / (51)93395850
--Prefeitura Municipal do Natal (http://www.natal.rn.gov.br) -
18 de Dezembro de 2014 às 11:46Olá Afonso e Leandro,
Minha equipe aqui desenvolve PHP mas estamos envolvidos com o software
i-Educar, de forma que, a curto prazo, não temos como ajudar com o problema
de SQL-Injection. O que eu posso fazer é informar sobre essa demanda para a
minha gerente e ver se conseguimos apoio de outra equipe de desenvolvimento
aqui do Serpro (algo difícil mas vale tentar). No mínimo, o Serpro pode
recomendar uma técnica ou biblioteca Php para aumentar a segurança do e-Sic
Livre.Lucas AlbertoEm 17 de dezembro de 2014 16:19, Afonso Leirias Junior - SEMPLA <
afonso.leirias@natal.rn.gov.br> escreveu:>
> Prezados colegas, boa tarde.
> Agradecer aqui a contribuição do Leandro, tem feito a analise do e-sic
> e feito
> observações importantes para o melhoramento da solução.
> Ao colega do SERPRO que contribuiu no relatório de analise da solução,
> nos
> recebemos aqui e implementamos as soluções de curto prazo, mas lucas, não
> desenvolvemos nenhuma ação na injeção de SQL uma contribuição seria
> maravilhosa nesse
> sentido. Não por falta de vontade, mas pela dificuldade de mão de obra e
> devido as
> prioridades.
> Você poderia contribuir nessa ação?
>
> Afonso Leirias
>
>
> On Wed, 17 Dec 2014 17:44:46 +0000, Leandro Arndt wrote
> > Olá, Lucas!
> >
> > Eu realizei os testes na CGU (sou da área de fomento ao controle social,
> não
> > da TI) e estou propondo algumas soluções para os problemas encontrados
> àquela
> > época. A possibilidade injeção de SQL continua, e me parece que, havendo
> > disponibilidade sua, uma contribuição nesse sentido seria bem-vinda.
> Pelo que
> > entendi do SPB (não pude assistir ao seminário, porque estava bloqueado
> aqui
> > na CGU), a idéia seria de que o pessoal da SEMPLA/Natal responderia
> > principalmente como gestor do repositório, mais que propriamente como
> > desenvolvedor. Por favor, me corrijam se eu estiver errado!
> >
> > Atenciosamente,
> >
> > [cid:image001.jpg@01D01A10.54C797F0]
> >
> > De: e-sic-livre-bounces@listas.softwarepublico.gov.br [mailto:
> e-sic-livre-
> > bounces@listas.softwarepublico.gov.br] Em nome de Lucas Alberto
> Enviada em:
> > quarta-feira, 17 de dezembro de 2014 14:20
> Para: e-sic-
> > livre@listas.softwarepublico.gov.br
> Assunto: [E-sic-livre] Olá do Serpro
> >
> > Olá pessoal!
> > Sou funcionário do Serpro, da equipe técnica responsável pelos softwares
> do
> > projeto Cidades Digitais. Há pouco tempo atrás recebemos a tarefa de
> analisar
> > a solução e-Sic livre.
> Nessa análise do código fonte (disponibilizado no
> > Portal SPB) e do sistema em uso, encontramos alguns pequenos bugs e a
> falta de
> > uma solução de segurança para ataques tipo Sql Injection. Como está isso?
> > Como podemos ajudar?
> Gostaria de parabenizar a equipe de Natal pela solução e-
> > Sic Livre e a equipe do MPOG pelo novo portal do SPB.
> >
> > Abraços,
> > Lucas Alberto S. Santos
> > SERPRO - Serviço Federal de Processamento de Dados
> > Divisão de Desenvolvimento Projeto Cidades Digitais -
> CEAGO/COSES/COSLI/CODEC
> > (51)21291169 / (51)93395850
>
>
> --
> Prefeitura Municipal do Natal (http://www.natal.rn.gov.br)
> -
5 de Janeiro de 2015 às 17:22teste
-
5 de Janeiro de 2015 às 17:22teste
Ordenar por:
Relacionado:
- sei-tecnico Erro ao assinar com Certificado Digital
- necessidadesoftware Gestão de Contratos de Software
- e-sic-livre Inauguração da Lista e-sic-livre
- i-educar Versão do php do ieducar
- sig-exe Convite III Simpósio SIADS 2016
- spb-dev Kanboard - Kanban com suporte integração ao Gitlab
- sei-tecnico Erro assinatura certificado digital
- i-educar Situação da exportação para o Educacenso no SERPRO
- sei-negocio O SEI apresenta erro ao autenticar documento ...
- i-educar Banco de dados lento?
Estatísticas:
-
iniciada em
9 anos, 3 meses atrás
-
vizualizada
2111 vezes
-
respondida
6 vezes
-
votada
0 vezes