Esta tarde me metà en la página de la universidad para comprobar si habÃan subido una nota de una asignatura (la respuesta fue que no, estaba cantado siendo domingo). Ya cuando iba a salir de la página vi que el comportamiento del formulario de acceso era bastante raro, esto que piensas, «Yo lo hubiera hecho de otra manera». Y te pones a probar, a añadir cositas a la URL cuando de repente, bingo, consigues acceder a la aplicación web saltándote el necesario log-in. Probé en diferentes navegadores (con el modo privado activado) y diferentes sistemas consiguiendo entrar con la misma alteración.
Conseguà acceso a las notas de todos los alumnos independientemente de la carrera o el curso y a una unidad de red. Vamos, que aquello es una chapuza.
Cuando vi que funcionaba igual siempre ya envié un correo a la gente que administra el sitio y con copia a un profesor de estos majetes con los que te cruzas 35 correos comentando una presentación de Apple y que da la casualidad que lleva años dedicándose a la seguridad (implantando redes en bancos y tal). Yo, de buena fe, con la única intención de que lo arreglaran.
La respuesta de los técnicos es que no se habÃan dado cuenta y lo solucionarán en cuanto puedan. La del juanker maestro,
Hola adrian
Currandotelo un poco mas y aplicando un ataque de fuerza bruta podrias ganar acceso root y cambiar las notas.
Un saludo.
Enviado desde mi iPhone
Y joder. Porque he avisado ya al resto, pero no me digáis que no es tentador forzar un poco. Igual conseguÃa salir en el periódico.
Visto en: Divertidos métodos GET que trabajan a medias.
11 respuestas a «Seguridad Renault»
TodavÃa estás a tiempo de comprobar si el mismo fallo ocurre en la ULE =P Y si pasa, te aviso cuando salgan las notas del examen del lunes.
(Qué majete el profesor, yo no tengo de esos, creo).
Yo tampoco tengo de los majetes, pero si de los que ponen las notas en la madrugada del sábado al domingo… de los mejores desayunos domingueros que recuerdo.
Si el profesor no era de redes no le veo la gracia xD
¿Y dónde dices que venden profesores as�
Lo triste es que esto que comentas es muy habitual.
En mi universidad pasaba lo mismo, y lo que es mejor, era trivial acceder a los directorios FTP privados de los profesores, donde en ocasiones habÃa material muy interesante, como las soluciones a un exámen que aún no se habÃa realizado (programaban la publicación de las soluciones antes de la celebración, de modo que el fichero ya estaba allÃ) o las transparencias y temarios del algún idiota que se negaba a compartirlos por su propia voluntad.
Pero curiosamente el tema de las notas sà estaba controlado e iba por otro lado, desde la web sólo se podÃan hacer consultas.
La mejor forma de explotar estas vulnerabilidades es tratar de venderlas como servicios a otros alumnos, si las usas para tu beneficio las posibilidades de que te pincen creecen como la espuma.
Creo que la respuesta del profesor merece todo un aplauso. No puede haber más WIN en menos palabras.
Ya se te veÃa venir que eras un Jáquer de los peligrosos, desde que, haciendote pasar por Juanito me robaste el blog.
Ya te lo dije ayer, ahora te tengo miedo!
si que es majete el profesor, sÃ, atención al control de tus notas, no vaya a aplicar sus enseñanzas XD
Ellohir; sÃ, sÃ, claro que es el Redes. El que las implanta y el que las corrompe. Un alumno de Ritchie (literalmente). Un auténtico fuera de serie.
Hugo; aquà las notas se muestran en un PDF generado con PHP, asà que cambiando esa página podrÃamos coger los datos de la base y en lugar de hacer un inofensivo SELECT realizar un UPDATE en la base, o algo menos destructivo y más loco, hacer que los PDF se generaran con datos aleatorios, no sé, rollo «¡Coño!, ¡he sacado un -3! Y Marquitos un «Tu madre es una gorda»Â». Divertido.
Aloisius; ¡qué buena fue aquella!
Fi2; no, mujer, si lo primero que hice fue avisar a las autoridades competentes. Mucho tipo duro pero luego ya se me ve el plumero. Todo imagen.
ElGekoNegro, hombre, muy heavy me parecerÃa que el usuario de las consultas con las que se genera el PDF tenga permisos de escritura en la BD. Aunque, si lo pienso bien…