Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
pacjent.gov.pl – dostępne bez autoryzacji 250 000 skierowań na badania i do szpitala
Tak przynajmniej relacjonuje użytkownik Wykopu, który dość niespodziewanie uzyskał taki efekt:
skierowania
Jak widać, na liście mamy aż ~250 000 „znalezionych skierowań”. Czy były też dostępne bardziej szczegółowe dane – po kliknięciu w „szczegóły”? Wg znalazcy problemu – tak. Pisze on bowiem:
dało się ale teraz wyświetla mi się że nie ma żadnych skierowań
I rzeczywiście, obecnie pod zakładką skierowania, mamy taki komunikat:
Co mogło (może?) być istotą problemu?
- „Szybki patch”, który wprowadził nową podatność (np. „drobna literówka w SQLu”)
- Problemy z cache (przy tak dużych systemach zazwyczaj konieczne jest korzystanie z tego typu mechanizmów)
- Może po prostu problem autoryzacyjny (tj. z uprawnieniami), którego nikt nie „zauważył od początku”
My zastanawiamy się czy system przeszedł jakieś gruntowne testy bezpieczeństwa – wiecie coś może na ten temat? :-)
–Michał Sajdak
Absolutnie nic.
Na podstawie tego, co jest wysyłane do mojej przeciętnej przeglądarki, CMS moze być Drupal, a wiec PHP, oraz na przedzie jako waf może być skrzynka f jak falkon i perfumy numer 5… (oby w v. bez RCE).
Poza tym, cóż, systemy „żyją”, czyli podlegają zmianom. Normalne przy zapewne sporym przerobie, mimo iż teoretycznie wakacje.
Nie, nie pracuje i nawet nie jestem „klientem” tudzież pacjentem.
I tak, powinniście wysłać „im” ofertę…
Gadanie o typowym ludzkim będzie w postaci „literówki” i na końcu zadawanie pytania o gruntowne testy bezpieczeństwa jest nie na miejscu, bo by trzeba je robić co dnia po każdym patchu. Fakt, wyślijcie im swoją ofertę, eh.
No po każdym patchu to idealnie, ale warto zacząć od jakiś jednorazowych testów :) Czy np. raz na rok robionych różnymi ekipami (aby nie było sytuacji, że cały czas ta sama ekipa nie zauważa tych samych błędów)