Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Luka bezpieczeństwa w mechanizmie logowania w portalu edukacyjnym Uniwersytetu Gdańskiego
W 2021 roku programiści mają ułatwione zadanie, jeśli chodzi o utrzymanie bezpieczeństwa swojego dzieła. Frameworki frontendowe pokroju Reacta czy Angulara eliminują w większości przypadków XSS-y, zaś gdy mówimy o backendzie, to Laravel czy ASP.NET Core umożliwiają wygenerowanie projektu z gotowym i względnie bezpiecznym systemem logowania oraz rejestracji użytkowników. Niestety, systemy większości polskich uczelni są przestarzałe, co w niektórych przypadkach może doprowadzić do incydentu bezpieczeństwa.
W tym artykule omówimy lukę w portalu edukacyjnym Uniwersytetu Gdańskiego, która została nam zgłoszona przez naszego Czytelnika. Według jego relacji wyglądało to w następujący sposób:
Na początku przechodzimy do strony logowania:
Teraz musimy podać numer dowolnego, istniejącego indeksu studenta, który możemy znaleźć chociażby w tym dokumencie. Od tego momentu zaczyna się „zabawa” – podanie hasła „dupa123” sprawi, że system zaloguje nas na losowe konto z przypisanym tym hasłem:
I gotowe! Tylko tyle wystarczyło, aby uzyskać dostęp do konta przypadkowej ofiary:
Jeśli chodzi o oszacowanie szkodliwości podatności, wystarczy dodać, że w zakładce „Profil” znajdziemy między innymi adres e-mail studenta:
Fakt istnienia tego rodzaju luki w systemie należącym do uczelni jest co najmniej niepokojący. Potencjał błędu mógł być jednak o wiele większy, w zależności od tego, czy atakującemu udałoby się wylosować konto pracownika uczelni. Istniało również ryzyko, że błąd mógł być obecny także w innych, bardziej istotnych systemach. Godny pochwały jest natomiast czas reakcji uniwersytetu na zgłoszenie – błąd, o którym powiadomiono w niedzielę, został naprawiony w poniedziałek:
~ Jakub Bielaszewski
Tylko ze najpierw trzeba trafic jakies realnie uzyte w aplikacji haslo…
Co nie jest trudne, ponieważ na tego typu portale sporo osób stosuje właśnie tego typu hasła
To jest moodle. Jest darmowe. Każdy może sobie zainstalować a uczelnia po prostu w końcu zrobiła aktualizację.