¿No os ha pasado nunca que algún familiar o amigo os enseña una página web y solo viendo la interfaz piensas que es un colador?
Bueno, a mi me ha pasado, hace unos días mi pareja, que es enfermera me pidió que le hiciera un favor, y para elló me pidió que entrase aquí: https://cursos.satse.es/
Para quien no lo sepa el SATSE es el sindicato de enfermería y aquí tienen una gran cantidad de información de todos los enfermeros de España, por lo que una brecha de seguridad sería un riesgo bastante alto. Vamos a empezar intentando ver que opina el sindicato de la seguridad y privacidad de sus enfermeros.
Lo que nos están diciendo aquí es que se toman bastante en serio su privacidad, y nos aseguran de alguna forma que el sitio es seguro, "supongo que habrán pasado alguna auditoría de seguridad".
Bueno, una vez visto me dispuse a echarle un vistazo rápido al sitio web a ver si esto era verdad. Mire varias cosas, si el panel de Login era vulnerable a fuerza bruta, algunos intentos de XSS, de SQLi y de CSRF, no más de 20 minutos (de momento). En principio lo que ví tenía buena pinta hasta que encontré lo siguiente.
Antes de nada aviso que la vulnerabilidad no es algo complejo tecnicamente hablando, el problema reside en la cantidad de información que se puede obtener de una forma tan simple.
La cuestión es que dentro de la plataforma de cursos del SATSE, había una sección donde tú podías ver los cursos a donde te habías inscrito, una vez en este panel podías seleccionar uno de los cursos donde te habías inscrito donde podías ver la información del curso junto a la información de tu perfil.
El problema en sí consiste en que el path para acceder a esta información era el siguiente:
https://cursos.satse.es/mis-inscripciones/miinscripcion/ID
El ID correspondía al ID de la inscripción, y la página web no comprobaba si el usuario que intentaba ver la inscripción era la propietaria, por lo tanto si modificabas este ID (numéricos consecutivos), podías ver la información de perfil de un usuario.
Una vez en este punto, solo bastaría automatizar las peticiones para tener toda esta información de cada uno de los usuarios que se hayan inscrito en algún curso:
- Nombre.
- Apellidos.
- Teléfono.
- Móvil.
- Email.
- NIF.
- Dirección.
- CP.
- Localidad.
- Provincia.
Una vez llegado a este punto tocaba reportar, así que contacte con administración para ver a donde me podía dirigir para solucionar el problema.
Al poco rato me contactaron dandome dos correos de las personas que estarían encagadas de arreglar esto, a donde les escribí como funcionaba el problema de seguridad, a lo que finalmente me respondieron comentando que ya lo habían arreglado.
A su favor tengo que decir que desde que contacte la primera vez, hasta que me respondieron diciendo que ya estaba arreglado pasaron alrededor de dos horas.
Saluti.
Da guhto sabe que ai cosa que funsionan vien.
No hay comentarios:
Publicar un comentario