l:admin;p:admin

Krótki wpis o tym dlaczego cudzych skryptów ściągniętych z sieci należy używać z głową. U „konkurencji” zastosowano elektroniczną rejestrację uczniów. Gimnazjalista mógł wstępnie się zarejestrować później donosząc dokumenty. W tamtej szkole kształcą między innymi techników informatyków i omawianą aplikację pisali właśnie ci przyszli technicy pod opieką nauczyciela. Prawdopodobnie była to praca zaliczeniowa z jakiegoś przedmiotu (oblali?). Postanowiłem sprawdzić czy skrypt podatny jest na proste SQLi. Wstępnie okazał się odporny ale łatwo znaleźć panel logowania administratora. Już po pierwszej próbie wpisania domyślnego loginu i hasła uzyskałem dostęp do ichniej bazy danych.

Baza

Technik ekonomista wyciągnięty z bazy.

Następnie udało mi się znaleźć fragment skryptu, który  najprawdopodobniej został tutaj wykorzystany. Co pozwoli na dokładniejsze zbadanie aplikacji. Wnioski jakie można z tego wysnuć:

  1. Technik informatyk po tej szkole to żaden technik. Jedyne co potrafi to ściągnąć parę plików i wykorzystać samemu nic nie tworząc.
  2. W tym przypadku rejestracja elektroniczna nie sprawdza się, zainteresowanie aplikacją jest znikome.

W tego typu aplikacji poza udostępnieniem danych typu: Nazwisko, Imię, Data_ur, Adres, Gimnazjum, Kierunek, Tel.Kontaktowy, IP i możliwością ich usunięcia nic się nie uzyska. Cały czas uczniów przyjmuje się drogą manualną przyjmując papierowe podania takie aplikacje mogą tylko trochę ułatwić organizację danych. Póki nie będzie pełnej cyfryzacji dokumentacji szkolnej to żadne systemy nam nie pomogą. Nawet pisane przez profesjonalistów tak rozbudowane i również wadliwe jak tutaj

Pozdrawiam