Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Największe skuchy bezpieczeństwa… wg czytelników sekuraka
To jeden z lightning talków, który zagości na naszej „pierońsko dobrej i darmowej konferencji (tutaj też zapisy)”. Co będzie materiałem źródłowym do ligtning talka? Ta ankieta, w której jeszcze można brać udział. Odpowiedzi na razie mamy przeszło 450 (!). Nasi czytelnicy na pytanie „Największe skuchy bezpieczeństwa, które widziałeś:” odpowiadali np. tak (więcej w trakcie prezentacji :)
Debugowe API pozwalające na wykonanie (potencjalnie kosztownej) operacji w imieniu użytkownika z pominięciem wszelkich potwierdzeń, uprawnień a nawet jakiejkolwiek formy uwierzytelnienia, pozostawione na produkcji i niezauważone przez nikogo przez ponad rok.
Uczelnia. Doprowadzające użytkowników do szału wymogi dotyczące haseł i ich zmieniania, ale lokalne admini na wszystkich maszynach mieli 3 małe litery, bo się technikom nie chciało wciskać za dużo klawiszy. Odpalane z poziomu LILO narzędzie do przywracania systemu dawało wybór operacji, ale po przyciśnięciu spacji na kilkanaście sekund zaliczało segfaulta i wracało do terminala z rootem. Napisany przez fanatyka Ruby webowy system dla studentów, oparty na jego autorskim i nie testowanym frameworku, miał tyle bugów, że dla jaj z kolegą chodziliśmy pomęczyć faceta i zgłaszać mu bez wysiłku błędy typu dumpy całych tabel z baz danych, dostęp do danych innych osób, możliwość zmieniania sobie ocen przez niektórych studentów itp.
W ramach pracy wielokrotnie musiałem mieć dostęp do serwerów klientów i jajca typu krzyczenie przez cały korytarz hasła do roota albo dawanie dostępu bez sprawdzenia kim jestem nie było niczym niezwykłym.
Jeden klient upierał się, że potrzebuje aplikacji uruchamianej „z pulpitu”. Bywa. Ale chciał, żeby była też zabezpieczona hasłem, żeby nikt nie mógł zobaczyć tworzonych przez nią wykresów. Dodam, że dane szły z nieszyfrowanej bazy danych, bo również taki był wymóg. Po długich próbach przekonywania ich, że to nie ma sensu, darowałem sobie. Posłałem tylko ich adminom monit i dodałem informację do manuala dla administratorów.
Drukarnia, która generuje faktury jako linki w stylu adres.pl/fv/2020/123.html – można przejrzeć tak kilka lat bez żadnego logowania
Możliwość enumeracji wszystkich faktur/ zamówień wystawionych kiedykolwiek w pewnym dużym chińskim e-markecie. Można było też przeglądać czyjeś zamówienia po mailu, widząc co dana osoba kupowała kiedy na jaki adres oraz informacje o płatności :)
Chińskie markety to swoją drogą, lepsi byli przewoźnicy z Chin (wiem o 4-5 firmach), które przesyłały komplet danych osobowych adresata w XML/JSON, ale nie wyświetlały ich na stronie.
Numery były kolejne (z cyfrą kontrolną).