l:admin;p:admin

Krótki wpis o tym dlaczego cudzych skryptów ściągniętych z sieci należy używać z głową. U „konkurencji” zastosowano elektroniczną rejestrację uczniów. Gimnazjalista mógł wstępnie się zarejestrować później donosząc dokumenty. W tamtej szkole kształcą między innymi techników informatyków i omawianą aplikację pisali właśnie ci przyszli technicy pod opieką nauczyciela. Prawdopodobnie była to praca zaliczeniowa z jakiegoś przedmiotu (oblali?). Postanowiłem sprawdzić czy skrypt podatny jest na proste SQLi. Wstępnie okazał się odporny ale łatwo znaleźć panel logowania administratora. Już po pierwszej próbie wpisania domyślnego loginu i hasła uzyskałem dostęp do ichniej bazy danych.

Baza

Technik ekonomista wyciągnięty z bazy.

Następnie udało mi się znaleźć fragment skryptu, który  najprawdopodobniej został tutaj wykorzystany. Co pozwoli na dokładniejsze zbadanie aplikacji. Wnioski jakie można z tego wysnuć:

  1. Technik informatyk po tej szkole to żaden technik. Jedyne co potrafi to ściągnąć parę plików i wykorzystać samemu nic nie tworząc.
  2. W tym przypadku rejestracja elektroniczna nie sprawdza się, zainteresowanie aplikacją jest znikome.

W tego typu aplikacji poza udostępnieniem danych typu: Nazwisko, Imię, Data_ur, Adres, Gimnazjum, Kierunek, Tel.Kontaktowy, IP i możliwością ich usunięcia nic się nie uzyska. Cały czas uczniów przyjmuje się drogą manualną przyjmując papierowe podania takie aplikacje mogą tylko trochę ułatwić organizację danych. Póki nie będzie pełnej cyfryzacji dokumentacji szkolnej to żadne systemy nam nie pomogą. Nawet pisane przez profesjonalistów tak rozbudowane i również wadliwe jak tutaj

Pozdrawiam

Reklamy

FTV.com – hasła na wybiegu

Od czasu do czasu sprawdzam sobie w necie różne zapytania w stylu google hacking. Tym razem zaskoczyło mnie jak stosując tą prostą metodę można znaleźć dużą ponad (300tyś. recordów, 32mb) bazę danych. Co dziwniejsze baza pochodzi z naprawdę sporego serwisu. Na początek trochę wstępu i informacji o samym portalu. Czytaj więcej

Napadamy na banki, czyli trochę o ochronie

We wtorek w Warszawie miało miejsce dwa i pół napadu na bank. Dzień później został okradziony bank w Tychach. W tamtym miesiącu zatrzymano podczas obserwacji banku sprawców napadów na apteki i stacje paliw w moim mieście i okolicach. Napady jak napady zdarzają się, w Polsce około kilkudziesięciu rocznie. O wiele mniej mówi się o złapanych przestępcach. Pomijając fakt, że informacje o schwytaniu autorów napadu są mniej medialne niż sam napad to nie wszyscy są łapani. W poście opiszę dlaczego wykrywalność jest tak mała. Czytaj więcej

Dzień bezpiecznego internetu

Dzisiaj (tj 9.02) „świętujemy” Dzień Bezpiecznego Internetu. Jest to kolejne święto mające na celu uratowanie świata zaraz obok dnia bez papierosa, dnia bez samochodu czy dnia drzewa. Osobiście uważam, że takie akcje – zwłaszcza przeprowadzane jak u nas – nie mają sensu. Wzmianka w internecie ewentualnie w radio lub telewizji bez jakichkolwiek działań jest bezowocna. Sama informacja o istnieniu pewnych problemów nie nauczy nas jak sobie z nimi radzić. Przy dniu bez samochodu w wielu miastach na świecie komunikacja miejska jest darmowa, wprowadzany jest zakaz parkowania w centrach.  Aby dzień bezpiecznego internetu miał sens i wymierny efekt należy nie tylko ludzi uświadamiać ale także kształcić i pokazywać jak należy się zachowywać. W tym dniu należałoby przeprowadzić jakieś darmowe szkolenia lub wykłady. Trzeba pokazać jakie zagrożenia czyhają na użytkownika i jak, nie posiadając większej wiedzy, sobie z nimi radzić i jak je ograniczać.
Czytaj więcej