-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Pokazał jak dostać się bez uwierzytelnienia do wyników testów na koronawirusa [jeden lab]

07 listopada 2020, 20:47 | W biegu | komentarze 3

Nieco przypadkiem natknąłem się na ten wpis, który można sprowadzić do paru zrzutów ekranowych ;-)

Logowanie do systemu zawierającego wyniki testów na koronawirusa. Logowanie z brakiem pola hasło?

Jak na logowanie trochę mało pól, może identyfikator zlecenia jest względnie losowy? Nic z tego – to zwykłe, kolejne liczby naturalne.

Autor (autorzy?) znaleziska postanowili zatem wybrać pewien numer zlecenia i popróbować kolejne daty urodzenia. Voila:

Po zgłoszeniu przez badacza firma szybko odpowiedziała oraz skorygowała problem wprowadzając mechanizm CAPTCHA (miejmy nadzieję, że to rozwiazanie tymczasowe – bo zdecydowanie nie jest idealne).

PS
Niestety bezpieczeństwo tego typu systemów, pisanych często „na szybko” jest prawdopodobnie często bardzo słabe. Niedawno jeden z naszych czytelników zgłaszał nam podatność SQL injection na „ekranie logowania” w innym labie realizującym testy na koronawirusa. Po naszym zgłoszeniu, otrzymaliśmy bardzo szybko informację o naprawieniu podatności – a technicznymi szczegółami prawdopodobnie podzielimy się z Wami w przyszłości.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Amator

    W sumie żadne zabezpieczenie nie jest idealne. Dobrze, że pojawiło się jakiekolwiek. Skoro nie ma haseł to już pewnie nie zostanie wprowadzone. Identyfikator zlecenia też możliwe, że jest brany z jakiegoś systemu. W sumie captcha to rozsądne rozwiązanie. Może jeszcze jakiś limiter na dany IP. Co jeszcze mogłoby się tam pojawić aby poprawić bezpieczeństwo? Może jakieś 2FA?

    Odpowiedz
    • Filip

      OTP na SMS byłby chyba nienajgorszy

      Odpowiedz
    • Borys

      To tak nie działa. Są pewne standardy, które należy wdrożyć co jest minimum, zawsze można więcej się postarać.

      Odpowiedz

Odpowiedz