Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Pokazał jak dostać się bez uwierzytelnienia do wyników testów na koronawirusa [jeden lab]
Nieco przypadkiem natknąłem się na ten wpis, który można sprowadzić do paru zrzutów ekranowych ;-)
Jak na logowanie trochę mało pól, może identyfikator zlecenia jest względnie losowy? Nic z tego – to zwykłe, kolejne liczby naturalne.
Autor (autorzy?) znaleziska postanowili zatem wybrać pewien numer zlecenia i popróbować kolejne daty urodzenia. Voila:
Po zgłoszeniu przez badacza firma szybko odpowiedziała oraz skorygowała problem wprowadzając mechanizm CAPTCHA (miejmy nadzieję, że to rozwiazanie tymczasowe – bo zdecydowanie nie jest idealne).
PS
Niestety bezpieczeństwo tego typu systemów, pisanych często „na szybko” jest prawdopodobnie często bardzo słabe. Niedawno jeden z naszych czytelników zgłaszał nam podatność SQL injection na „ekranie logowania” w innym labie realizującym testy na koronawirusa. Po naszym zgłoszeniu, otrzymaliśmy bardzo szybko informację o naprawieniu podatności – a technicznymi szczegółami prawdopodobnie podzielimy się z Wami w przyszłości.
–ms
W sumie żadne zabezpieczenie nie jest idealne. Dobrze, że pojawiło się jakiekolwiek. Skoro nie ma haseł to już pewnie nie zostanie wprowadzone. Identyfikator zlecenia też możliwe, że jest brany z jakiegoś systemu. W sumie captcha to rozsądne rozwiązanie. Może jeszcze jakiś limiter na dany IP. Co jeszcze mogłoby się tam pojawić aby poprawić bezpieczeństwo? Może jakieś 2FA?
OTP na SMS byłby chyba nienajgorszy
To tak nie działa. Są pewne standardy, które należy wdrożyć co jest minimum, zawsze można więcej się postarać.