Moderador: Moderadores
Código: Selecionar todos
//A título de exemplo, sem compiação e testes.
//Passa um CNPJ para uma função de consulta e retorna um Hash com os dados do CNPJ para ser processado no DBF
Function Main()
If Len( Trim(cCnpj) ) <> 14
REturn .t.
Endif
hCnpj := CNPJ_Consulta( cCnpj )
If hCnpj <> NIL
If Len(hCnpj) > 2
If nOpMenu = INCLUSAO
ccr_nome := PadR( cl_NulToString(hCnpj["nome"]), Len(ccr_nome) )
ccr_fantas := PadR( cl_NulToString(hCnpj["fantasia"]), Len(ccr_fantas) )
If Ptab( cl_NulToString(hCnpj["municipio"]), 'TBM', 2)
tbm_codigo := TBM->tbm_codigo
Endif
ccr_cep := PadR( cl_LimpaString( hCnpj["cep"]) , Len(ccr_cep) )
ccr_lograd := PadR( cl_NulToString(hCnpj["logradouro"]) , Len(ccr_lograd) )
ccr_numero := PadR( cl_NulToString(hCnpj["numero"]) , Len(ccr_numero) )
ccr_comple := PadR( cl_NulToString(hCnpj["complemento"]), Len(ccr_comple) )
ccr_bairro := PadR( cl_NulToString(hCnpj["bairro"]) , Len(ccr_bairro) )
ccr_cidade := PadR( cl_NulToString(hCnpj["municipio"]) , Len(ccr_cidade) )
ccr_uf := PadR( cl_NulToString(hCnpj["uf"]) , Len(ccr_uf) )
ccr_fones := PadR( cl_NulToString(hCnpj["telefone"]) , Len(ccr_fones) )
ccr_email := PadR( cl_NulToString(hCnpj["email"]) , Len(ccr_email) )
x := hCnpj["atividade_principal"]
cna_codigo := cl_LimpaString( x[1]["code"] )
x := aScan( aEmpresaTipo, { | a | Trim(Upper(a[2])) = cl_NulToString(hCnpj["porte"]) })
If x > 0
ccr_ETipo := aEmpresaTipo[x, 1]
Endif
Else
If LastKey() = 32 //K_F8
CCR->ccr_nome := hCnpj["nome"]
CCR->ccr_fantas := PadR( cl_NulToString(hCnpj["fantasia"]), Len(ccr_fantas) )
If Ptab( cl_NulToString(hCnpj["municipio"]), 'TBM', 2)
CCR->tbm_codigo := TBM->tbm_codigo
Endif
CCR->ccr_cep := PadR( cl_LimpaString( hCnpj["cep"]) , Len(ccr_cep) )
CCR->ccr_lograd := PadR( cl_NulToString(hCnpj["logradouro"]) , Len(ccr_lograd) )
CCR->ccr_numero := PadR( cl_NulToString(hCnpj["numero"]) , Len(ccr_numero) )
CCR->ccr_comple := PadR( cl_NulToString(hCnpj["complemento"]), Len(ccr_comple) )
CCR->ccr_bairro := PadR( cl_NulToString(hCnpj["bairro"]) , Len(ccr_bairro) )
CCR->ccr_cidade := PadR( cl_NulToString(hCnpj["municipio"]) , Len(ccr_cidade) )
CCR->ccr_uf := PadR( cl_NulToString(hCnpj["uf"]) , Len(ccr_uf) )
CCR->ccr_fones := PadR( cl_NulToString(hCnpj["telefone"]) , Len(ccr_fones) )
CCR->ccr_email := PadR( cl_NulToString(hCnpj["email"]) , Len(ccr_email) )
x := hCnpj["atividade_principal"]
CCR->cna_codigo := cl_LimpaString( x[1]["code"] )
x := aScan( aEmpresaTipo, { | a | Trim(Upper(a[2])) = cl_NulToString(hCnpj["porte"]) })
If x > 0
CCR->ccr_ETipo := aEmpresaTipo[x, 1]
Endif
msg := 'Dados do Credor/Fornecedor atualizados automaticamente de acordo com o encontrado no site da Receita Federal.'
MsgOK( msg )
Endif
Endif
Else
msg := 'não foi possível atualizar dados do Credor/Fornecedor.'
MsgAtencao( msg )
Endif
Endif
Return
////////////////////////////////////////////////////////////////////////////////
//https://pctoledo.org/forum/viewtopic.php?f=43&p=155455#p155455
//https://pctoledo.org/forum/viewtopic.php?f=4&t=23628 (com Header)
//https://pctoledo.org/forum/viewtopic.php?f=4&t=17427 (usando a hb_JSONDecode( cJSON, @hJSON ) )
//https://nfe.io/docs/desenvolvedores/rest-api/consulta-de-cnpj-v1/ (para consultas)
//https://pctoledo.org/forum/viewtopic.php?f=4&p=148594#p148594 (pode fazer FTP)
Function CNPJ_Consulta( cCnpj )
Local mSite := "http://receitaws.com.br/v1/cnpj/", oHttp, hCNPJA := Hash(), mJSONCNPJ, hJSON := Hash()
//mSite := "https://publica.cnpj.ws/cnpj/" //mais completo
If Len( Trim(cCnpj) ) <> 14 .or. cCnpj = '00000000000000' .or. !VCGC(cCnpj)
Return NIL
Endif
Begin Sequence
Try
oHttp := CreateObject("MSXML2.ServerXMLHTTP")
oHttp:Open("GET", mSite + cCNPJ, .F.)
oHttp:send()
CATCH oError
msg := 'Internet Error: 010' + CRLF
msg += 'Aviso..: Erro verificado ao fazer requisição de CNPJ no Site indicado.' + HB_Eol()
msg += 'Site...: ' + mSite + HB_Eol()
msg += 'CNPJ...: ' + cCNPJ + HB_Eol()
msg += cl_getError(oError, .t.)
msgError ( msg )
hCNPJA := NIL
Break
End
If Empty( oHttp:responseText )
hCNPJA := NIL
Break
ElseIf '"ERROR"' $ oHttp:responseText
msg := 'Request error: 015' + CRLF
msg += 'Aviso..: O retorno da consulta de CNPJ está com erros.' + HB_Eol()
msg += '- Aguarde um minuto e tente novamente.' + HB_Eol()
msg += '- Verifique se o CNPJ é válido.' + HB_Eol()
msg += 'Site...: ' + mSite + HB_Eol()
msg += 'CNPJ...: ' + cCNPJ + HB_Eol()
msg += 'Response:' + oHttp:responseText + HB_Eol()
msg += 'Status..:' + Str(oHttp:status, 3) + HB_Eol()
msg += cl_getError(, .t.)
MsgError ( msg, .t. )
hCNPJA := NIL
Break
ElseIf 'Too many' $ oHttp:responseText
msg := 'Request error: 020' + CRLF
msg += 'Aviso..: Muitas tentativas de pesquisar CNPJ no Site indicado.' + HB_Eol()
msg += '- Aguarde um minuto e tente novamente.' + HB_Eol()
msg += 'Site...: ' + mSite + HB_Eol()
msg += 'CNPJ...: ' + cCNPJ + HB_Eol()
msg += 'Response:' + oHttp:responseText + HB_Eol()
msg += 'Status..:' + Str(oHttp:status, 3) + HB_Eol()
MsgAtencao ( msg )
hCNPJA := NIL
Break
Endif
mJSONCNPJ := HB_AnsiToOem(oHttp:responseText)
hCNPJA := JSonToHash( mJSONCNPJ )
If hCNPJA = NIL
ADOStringGrava(mJSONCNPJ + CRLF)
Endif
oHttp := NIL
End Sequence
Return hCNPJA
Quem é o provedor ? Onde fica fisicamente ?que está no provedor,
Numa breve consulta, vi uma explicação muito boa nesse link: https://www.hostgator.com.br/blog/api-restful/cjp escreveu:O provedor é o KingHost, se não me engano, ele é sitiado no RS. Mas isso faz diferença?
Clodoaldo, vc está dizendo que o banco fica negado para acesso a terceiros e mesmo assim vc consegue fazer a consulta a ele de qualquer lugar? Como seria isso? Não entendi bem o exemplo que vc postou. Poderia me esclarecer isso, por favor?
Código: Selecionar todos
mServidor := "http://meusite.com.br"
mSenha := "123456"Se esse hacker tem acesso ao kinghost ele vai copiar mesmo.se não me engano
Código: Selecionar todos
Se esse hacker tem acesso ao kinghost ele vai copiar mesmo.
Vc ainda não entendeu, alguém deu para ele acesso ao kinghost. Não tem problema com seu aplicativo.
Importa saber quem é que tem acesso a suas bases de dados, esteja ela onde for, pensei que era só vc que tinha acesso, mas vc nem sabe onde sua base SE ENCONTRA e quer proteger. Esse hacker ai pode até apagar ela...Vou estudar isso.Numa breve consulta, vi uma explicação muito boa nesse link: https://www.hostgator.com.br/blog/api-restful/
Editei o .exe e achei sim a senha. Embora eu não salve dessa forma, mas, como eu sei a senha, foi fácil achar, bastou procurar pela senha. Quem não sabe a senha não acharia tão fácil assim.Outra coisa, vc fez um teste, se editando de Executável com o NotePad++, consegue achar as suas variáveis de acesso ao seu DB, por exemplo:
var "mServidor", var "mSenha", faça uma busca e veja se consegue achar, se sim, vc vai entender q qq um q editar seu executável vai poder achar o endereço do seu servidor e possivelmente sua senha.
No fonte, vc coloca:
Veja que no exemplo acima vc tem duas Strings com valores reservados nela, daí, se vc editar se .EXE, e fazer uma busca pelo conteúdo da variáveis, vai perceber que é uma vulnerabilidade salvar senhas como Strings.
use o velho CHR(XX) + CHR(XX) + CHR(XX)cjp escreveu: Editei o .exe e achei sim a senha. Embora eu não salve dessa forma, mas, como eu sei a senha, foi fácil achar, bastou procurar pela senha. Quem não sabe a senha não acharia tão fácil assim.
Mas a questão é: como mudar isso? Como eu conseguiria não colocar a senha no .exe, e ainda assim permitir que os usuários do programa acessassem o banco de dados.
Faz diferença saber quem tem acesso. Se vc me der acesso ao provedor eu posso apagar tudo, etc...Ao contratar um provedor, eu preciso saber onde a base de dados é armazenada? Isso faz diferença?
cjp escreveu:Código: Selecionar todos
Se esse hacker tem acesso ao kinghost ele vai copiar mesmo... [/quote] Amigo como funciona a sua estrutura, vc tem uma máquina nuvem, que foi instalada por vc? Qual sistema operacional dela? Os executaveis que acessam essa máquina, estão lá nela ou podem estar em qualquer computador? O básico da segurança, é ter um sistema operacional atualizado e que seja mais seguro possível, eu gosto por exemplo de usar freebsd nos servidores em nuvem, a partir dai por exemplo, se tenho um banco de dados que só é acessado por site, uso postgresql, eu limito no arquivo de configuração do banco que só pode ser acessado por localhost, nesse caso só os sites hospedados no mesmo servidor tem acesso, como preciso acessar da empresa onde trabalho acrescento o ip da empresa tbm, e além da proteção direto no banco, adiciono no firewall da nuvem pra só acessar conexões desse ip da empresa, ou seja, se algum hacker quiser acessar, vai ter que ser usando algum computador da empresa, e mesmo assim, só vai acessar o que os programas conseguem acessar, a não ser que use alguma vunerabilidade das linguagens como php, java e etc, mas ai já tá além do meu trabalho, eu preciso manter sempre atualizado o sistema operacional e as ferramentas de linguagem. Se o servidor não estiver na nuvem, vc precisa evitar que tenha acesso físico ao mesmo, se não for possível não tem como dar proteção.
Gostei dessa ideia. Vou fazer isso. Embora ache que isso só não resolva. Como disse, não creio que o hacker tenha pego a senha no meu .exe, acho que ele pegou acesso direto ao banco de dados por meio desse programa que usou a porta que já estava aberta pelo meu sistema na rede.use o velho CHR(XX) + CHR(XX) + CHR(XX)
Onde o XX é o ascii da letra, da uma complicada para achar
Eu não dei acesso físico ao kinghost pra ninguém. Ele acessou por meio do computador dele, que está na mesma rede da minha organização, onde tenho meu programa instalado. Ao que sei, só quem tem acesso ao kinghost é o pessoal da própria kinghost.Faz diferença saber quem tem acesso. Se vc me der acesso ao provedor eu posso apagar tudo, etc...
Enfim basta criptografar a senha no exe que é mais fácil e resolve seu problema. A outra parte é saber quem tem acesso ao kinghost.
Se ele copia suas bases de dados é pq ele tem acesso físico aos computadores. Não é pq ele é hacker.
Tenho apenas uma hospedagem compartilhada no kinghost (ver: https://king.host/hospedagem-de-sites). Não sei qual o sistema operacional da máquina, e não tenho controle sobre ela. Já conversei com o pessoal do Kinghost sobre essa invasão, eles alegam que não são responsáveis, que o problema ocorreu aqui, não com eles.Amigo como funciona a sua estrutura, vc tem uma máquina nuvem, que foi instalada por vc? Qual sistema operacional dela? Os executaveis que acessam essa máquina, estão lá nela ou podem estar em qualquer computador?
O básico da segurança, é ter um sistema operacional atualizado e que seja mais seguro possível, eu gosto por exemplo de usar freebsd nos servidores em nuvem, a partir dai por exemplo, se tenho um banco de dados que só é acessado por site, uso postgresql, eu limito no arquivo de configuração do banco que só pode ser acessado por localhost, nesse caso só os sites hospedados no mesmo servidor tem acesso, como preciso acessar da empresa onde trabalho acrescento o ip da empresa tbm, e além da proteção direto no banco, adiciono no firewall da nuvem pra só acessar conexões desse ip da empresa, ou seja, se algum hacker quiser acessar, vai ter que ser usando algum computador da empresa, e mesmo assim, só vai acessar o que os programas conseguem acessar, a não ser que use alguma vunerabilidade das linguagens como php, java e etc, mas ai já tá além do meu trabalho, eu preciso manter sempre atualizado o sistema operacional e as ferramentas de linguagem.
Se o servidor não estiver na nuvem, vc precisa evitar que tenha acesso físico ao mesmo, se não for possível não tem como dar proteção.
Código: Selecionar todos
/////////////////////////////////////////////////////////////////////////////
//Retorna uma string com os valores ASCii de uma sequˆncia de caracteres, formadada com CHR(xx)+
Function RetornaCHRString(cString)
Local r := ''
For i := 1 To Len(cString)
r += 'CHR(' + LTrim(Str(ASC( SubStr(cString, i, 1) ) )) + ') + '
Next
Return r