doctorixx 2 мая в 13:15

Как я уязвимости в школьном электронном журнале искал

Средний

4 мин

8.4K

Веб-разработка*Информационная безопасность*

Из песочницы

+53

Комментарии 22

seregina_alya 2 мая в 15:33

А кто-нибудь вообще понимает, как могло прийти в голову получать по id инфу пользователя без проверки прав доступа?)

Но так и непонятно с кэширование, удалось ли?

redfox0 2 мая в 18:07

Безопасность закладывается при написании кода либо сразу, либо как получилось, так получилось. Судя по багфиксу разработчики даже не поняли в чём проблема.

seregina_alya 15 часов назад

Я далеко не профи, совершенно, любитель. Но почему мне понятно с первой же мысли, что получение данных рандомного пользователя по простому id без авторизации существовать не должно никогда и ни при каких условиях, а целой команде разработчиков, которые делают достаточно массовый сервис, работающий с детскими персональными данными - нет? Меня такие моменты сильно удивляют

Впрочем, стоит радоваться, наверное, что оценки выставляются не простым POST так же без защиты))) Ну или ТС просто этим не занимался

doctorixx 2 мая в 22:01

Не совсем понял вопрос про кеширование)

re4t1rt998 вчера в 07:54

поэтому я начал работать над приложением-оберткой, которое кешировало бы данные.

Что в итоге с приложением?)

doctorixx 22 часа назад

Работало где-то полгода, даже выложил в Rustore.

На тот момент побоялся работать с данными госуслуг. Возможно возобновлю разработку чуть позже)

StrawberryPie 2 мая в 17:17

Мы просто брали пароли с компа, вставляли флешку с автораном и получали сохраненные пароли. Пару двоек исправил, но скандал был. За ночь рейтинг школы обвалился, исправлять исправленные оценки никто не стал)

doctorixx 2 мая в 21:46

Сейчас стало сложнее из-за входа через ЕСИА. Но появилась другая проблема - теперь учителя оставляют пароли/логины/сессии от госуслуг на общих школьных пк

Apasnychel 17 часов назад

О да, о да, а ты пони аешь что можно на них займ взять;) всеже лог пасс от госуслуг, да и сесию угнать можно.

redfox0 2 мая в 18:07

Такая простая уязвимость в государственном приложении

Есть одна ГИС, данные из которой потом уходят на ЕПГУ (Госуслуги). Там можно было переключиться на другого пользователя, дёрнув api из браузера. На пользователя другой организации или даже учётки админа находили. Но это всё баловство, в этом году нашли дыру посерьёзнее - во время редактирования сущности по id перепутали боевой и тестовый контур и отредактировали ЧУЖИЕ данные.

wedytd 2 мая в 21:41

Если речь про элжур и их апи, то как вы проходили авторизацию через госуслуги для получения токена/кук/etc ? Когда я раньше учился в школе, сейчас в институте. У нас был электронный журнал барс там было апи и всё гораздо проще. Но с элжуром всё поменялось

doctorixx 2 мая в 21:44

Конкретно эти эксперименты проводил, когда еще не было входа через госуслуги. Но вход через госуслуги осложняет работу не сильно) Запросы все так же можно перехватить)
При входе через госуслуги выдается все равно тот же токен

У ЭлЖура есть апи, просто спецификации нет в публичном доступе

Tim_L 2 мая в 22:05

Я надеюсь ты отучишься на инфобез и пополнишь ряды талантливых ребят. Красавчик. Главное самообразование не бросай. Удачи тебе)

GiveMeFreeNickName 21 час назад

Поймёшь что половина не платит по багбаунти и уйдешь в черный хакинг :)

WeeAmigo 2 мая в 22:01

Что насчёт "Моей школы", там могут быть подобные уязвимости, или все таки уже успели залатать?

doctorixx 2 мая в 22:40

Не пользовался, к сожалению

Но у Вас есть прекрасная возможность..)

AlexAsadullin 2 мая в 22:08

💪

TheDearbear 2 мая в 22:38

Ну и извращения с прехватом запросов на Android. Можно легко декомпильнуть приложение и легко найти все эндпоинты по интерфейсам, где у каждого метода висит аннотация с путём из url. Я таким образом в своё время написал кастомный клиент с поддержкой мультиаккаунта. (https://github.com/TheDearbear/DigitalJournal)

doctorixx 2 мая в 22:39

Хороший вариант
Подумал, что мне будет проще перехватить

А приложение не обфусцируется у них?

TheDearbear 2 мая в 22:43

Да, как и все по-умолчанию при компиляции в Android Studio, но строчки остаются же неизменными. Плюсом в коде оставлены ассерты с частичками исходного кода, где встречается, например, интерфейс GlobalApi

glebliutsko 23 часа назад

Я ещё находил один раз уязвимость в "Сетевом городе" тоже ПО для эл. журнала. Суть была в том, что если не указать ID при получении оценок, то возвращались все оценки класса.

Написал разработчикам в форму обратной связия а они просто молча исправили и ничего даже не написали :(

daniillnull 20 часов назад

У нашей школы несколько лет назад была вообще странная ситуация: журнал и некоторые сопутствующие сервисы (moodle) хостились прямо в школе, а вход на них был по просто IP адресу, без домена

Однажды со скуки в классе восьмом я обнаружил, что на этом IP адресе еще есть и FTP без авторизации. А там, помимо тонны всяких разных файлов, прямо в корне лежал файл с незашифрованным бэкапом всего школьного журнала. К счастью, именно персональных данных там почти не было (их можно было указать в учетке, но этого не делали ни школьники, ни учителя), зато были пароли надежно (нет) защищенные MD5 без соли

Я не стал об этом никому говорить тогда (остерегаясь последствий), поэтому этот архив пролежал там еще год, пока в новом учебном году школа не решила перейти на другой журнал (и заодно подчистить тот FTP-сервер)

В общем, это я к тому, что в целом в этой "индустрии" все довольно печально и проблемы далеко не единичны

Зарегистрируйтесь на Хабре, чтобы оставить комментарий