Dec 18, 2013

0 Novērtēšanas elektroniskās veidlapas informācijas sistēma (NEVIS)

Iekš NEVIS ir tads maziņš drošības caurums.
Izskatās , ka tiesības tiek veidotas kopēji grupai , lai gan vajadzētu katram lietotājam individuāli.
Kas no tā izriet?



Pieņemsim , ka Pētera Kalniņa ID numurs ir id=88001 un Annas Liepiņas ID numurs ir id=88002.
Sekojoši, Pēteris nevar piekļūt Annas datiem un vice versa, taču…
Ja Pēteris pamaina ID numuru uz Annas ID numuru, tad var pilnīgi droši piekļūt viņas datiem, t.i izvērtēšanas tabulai, kurā var mainīt datus.
Protams , šīs izmaiņas tiks reģistrētas un Pētera neģēlība tiks pamanīta, taču šādai iespējai pat nebūtu jābūt.
Vienīgais , kas priecē ir tas, ka ir veidotas grupas uz visu iestādi, tātad vienas iestādes darbinieki nevar piekļūt citu iestāžu darbinieku anketām (teorētiski, jo dziļāk neesmu pētījis).
Lai gan uzmetot acis source code, nāk prātā pāris exploiti datu izmānīšanai no bāzes, bet tas tā ..lirika..


P.S. Diemžēl aplūkojot weblapu un tās palīdzības vietni, neatradu nekādu atsauci (e-pastu, telefonu), 
kur ziņot par sistēmā atrastajām kļūdām.
P.S.S Dziļāk laikam nepētīšu, negribās iet NEO pēdās.

0 comments :

Post a Comment

Comment: