-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Luka bezpieczeństwa w mechanizmie logowania w portalu edukacyjnym Uniwersytetu Gdańskiego

03 sierpnia 2021, 11:42 | W biegu | komentarze 3

W 2021 roku programiści mają ułatwione zadanie, jeśli chodzi o utrzymanie bezpieczeństwa swojego dzieła. Frameworki frontendowe pokroju Reacta czy Angulara eliminują w większości przypadków XSS-y, zaś gdy mówimy o backendzie, to Laravel czy ASP.NET Core umożliwiają wygenerowanie projektu z gotowym i względnie bezpiecznym systemem logowania oraz rejestracji użytkowników. Niestety, systemy większości polskich uczelni są przestarzałe, co w niektórych przypadkach może doprowadzić do incydentu bezpieczeństwa.

W tym artykule omówimy lukę w portalu edukacyjnym Uniwersytetu Gdańskiego, która została nam zgłoszona przez naszego Czytelnika. Według jego relacji wyglądało to w następujący sposób:

Na początku przechodzimy do strony logowania: 

Teraz musimy podać numer dowolnego, istniejącego indeksu studenta, który możemy znaleźć chociażby w tym dokumencie. Od tego momentu zaczyna się „zabawa” – podanie hasła „dupa123” sprawi, że system zaloguje nas na losowe konto z przypisanym tym hasłem:

I gotowe! Tylko tyle wystarczyło, aby uzyskać dostęp do konta przypadkowej ofiary:

Jeśli chodzi o oszacowanie szkodliwości podatności, wystarczy dodać, że w zakładce „Profil” znajdziemy między innymi adres e-mail studenta:

Fakt istnienia tego rodzaju luki w systemie należącym do uczelni jest co najmniej niepokojący. Potencjał błędu mógł być jednak o wiele większy, w zależności od tego, czy atakującemu udałoby się wylosować konto pracownika uczelni. Istniało również ryzyko, że błąd mógł być obecny także w innych, bardziej istotnych systemach. Godny pochwały jest natomiast czas reakcji uniwersytetu na zgłoszenie – błąd, o którym powiadomiono w niedzielę, został naprawiony w poniedziałek:

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Czesiek

    Tylko ze najpierw trzeba trafic jakies realnie uzyte w aplikacji haslo…

    Odpowiedz
    • Dawid

      Co nie jest trudne, ponieważ na tego typu portale sporo osób stosuje właśnie tego typu hasła

      Odpowiedz
  2. Cfst

    To jest moodle. Jest darmowe. Każdy może sobie zainstalować a uczelnia po prostu w końcu zrobiła aktualizację.

    Odpowiedz

Odpowiedz