Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Rój krytycznych podatności w aplikacji do sekwencjonowania DNA

09 marca 2017, 15:41 | W biegu | komentarzy 12

Ciekawy mini raport z podatnościami w jednym z systemów tworzonych przez dostawcę o wiele mówiącej nazwie: dnaTools. 

Jedną z funkcji podatnego systemu dnaLIMS jest interfejsowanie do maszyn sekwencjonujących DNA:

dnaLIMS interfaces directly with ABI-377, 3100, 3130, 3700, and 3730.
Other sequencers upon requests.

Dla ciekawskich, tak np. wygląda ABI-377

ABI377

Jakie tam mamy podatności? Na start – dostęp na serwer bez uwierzytelnienia. Wystarczyło w tym przypadku zmienić typ requestu HTTP na POST…:

req

response…

A to tylko początek… Producent niestety nie zareagował na zgłoszenie, a systemów tego typu jest niestety sporo w Internecie :(

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tak jak już niedawno pisałem, w takich artykułach przydałyby się gotowe przykłady do Shodana, aby każda osoba, którą temat zaciekawił, a która niekoniecznie ma (już) odpowiednią wiedzę, mogła sobie sama kontynuować dalszy research na własną rękę…

    Odpowiedz
    • Kto ma basicową wiedzę, da radę. A kto nie ma, lepiej się za to nie zabiera i uważa żeby czasem czegoś nie uderzyć niezgodnie z prawem…

      Odpowiedz
      • No dobra, ale każdy jest odpowiedzialny za siebie. Jestem zdania, że każdy ma prawo do wiedzy (jak również do łatwości jej zdobycia) i choćby z tego powodu takie manualne/przykłady powinny być każdorazowo zamieszczane gdzieś pod artykułem. W końcu autor nie może odpowiadać za to, czy ktoś nie zrobi z daną wiedzą czegoś niewłaściwego…

        Odpowiedz
        • Roland

          Tomku, a ja się z Tobą nie zgodzę. Jeśli kogoś temat zainteresuje to zawsze może poszukać informacji na własną rękę. Nie ma nic gorszego niż podawanie wszystkiego na tacy, bo to bardzo negatywnie wpływa na rozwój intelektualny i zdolności poznawcze. Mowiac w prost ogłupia. Jeśli ktoś nie potrafi posługiwać się wyszukiwarką, to czy należy dawać mu instrukcję obsługi bardziej zaawansowanych narzedzi?

          Odpowiedz
          • Może i ogłupia, ale z własnego doświadczenia życiowego wiem, że skłonność do różnego rodzaju eksperymentów jest odwrotnie proporcjonalna do poziomu posiadanej wiedzy.

            Innymi słowy, najpierw jesteśmy „młodzi i gniewni”, potem idziemy na studia, a gdy już je kończymy i zaczynamy pracować, bierzemy kredyt itd., to często nam się już nic nie chce, mimo że w międzyczasie opanowaliśmy np. Shodana. Więc wiedza się marnuje.

            Nie ukrywam, że moją intencją jest właśnie danie gotowych narzędzi takim „młodym i gniewnym”, którzy są jedyną nadzieją na zmiany (nieistotne jakie, po prostu zmiany).

        • Radosław Rumian

          Zawsze możesz sam zacząć pisać artykuły. Sekurak ewidentnie nie robi tego w sposób w jaki Ty byś chciał (osobiście uważam taką postawę za odpowiedzialną), także tego typu komentarze mijają się z celem.

          Odpowiedz
        • lcf

          Art. 269b KK czytałeś?

          Odpowiedz
          • Jasne, tyle że on nie ma tutaj zastosowania, no chyba że autor by podał jeszcze więcej i jeszcze bardziej wprost, niż zaproponowałem.

  2. jozek

    Młodzi i gniewni obecnie, to mają to wszystko bardziej gdzieś, niż starzy i bogaci ;p

    Odpowiedz
    • Roland

      Dokładnie tak ;) a nawet bardziej, bo nic nie potrafia, nic nie mają, a wymagania i mniemanie o sobie jakby byli starzy i bogaci :)

      Tomasz Klim, niestety ale od takiego podejscia tylko jeden krok od „produkcji” zewnatrz sterownych cymbalow, ktorym jak palcem nie pokażesz krok po kroku to sam nie wpadnie na to, żeby poszukać rozwiazania. Bedzie czekał bezczynnie, a jak zapytasz czy „zrobione” to pierdylion powodów dlaczego nie potrafil otworzyc przeglądarki i wpisać „jak znaleźć drogę do domu” . ;) uczmy myślenia, nie uczmy lenistwa.

      Odpowiedz
  3. Bartosz Sroka

    Ale autor może założyć że czytający ma minimalną wiedzę, którą potrafi wykorzystać – nie tylko „chce namieszać, poproszę konkretną listę sekwencerów – w których mogę namieszać”.
    Rozpoczęcie researchu od podstaw, jest dość dobrą kolejnością.

    Odpowiedz
  4. Andrzej

    Michale,
    a może stworzysz odrębny wątek dla wszystkich, co chcą ponarzekać?
    Ja dodatkowo proponuję opłatę rejestracyjną :-)
    Sprawdzone na dzieciach marudzących na wszystko na wakacjach – w sklepiku była skarbonka w formie kocura, którego ochrzciliśmy Zrzędzol, a każdy zrzędzący był zobligowany do aplikowania 2 zł do skarbonki – pomogło :-)))

    Odpowiedz

Odpowiedz