Park Stołeczny, Emanuel Śmigło, 08.09.2012 r. o 05:17
Polityka bezpieczeństwa

Dzisiejszy akt oskarżenia przeciw Jakubowi mar. Bakonyi zawiera wiele informacji, które z punktu widzenia bezpieczeństwa systemu informatycznego nie powinny zostać podane do publicznej wiadomości. Lektura dokumentu przybliży nam kilka elementów struktury bazy danych takich jak nazwy baz, tabel czy kilka identyfikatorów przypisanych do konkretnych mieszkańców Księstwa. Prefekt BAN nieświadomie ułatwił sprawę poszukiwaczom wektorów ataku.

Bardziej interesujący wydaje się opis mechanizmu identyfikacji maszyn i analizy adresów, który czytelnik może poukładać sobie w głowie. Token służący do identyfikacji komputera zapewne oparty jest na ciastku innym niż to wykorzystywane przez Złotą Wolność, bo to jak wiadomo zawiera tylko identyfikator mieszkańca i nieposolony skrót MD5 hasła. Tym samym zdanie "Wszystkie akcje podejmowane w tym okresie w bazie danych powiązane były ze sobą tym samym tokenem, co oznacza, że dokonywane były z jednego komputera." jest naciągane - w końcu ciastka można lokalnie edytować. Autor życzy miłej analizy i używania produktów projektu Tor (https://www.torproject.org/).

Warto wspomnieć jeszcze i jednym aspekcie dotyczącym bezpieczeństwa - obsłudze zgłoszeń poważnych i krytycznych błędów aplikacji umieszczonych na serwerze Księstwa. Jak dotychczas wygląda to blado, żeby nie powiedzieć beznadziejnie. Pisanie raportów i zgłoszeń kanałami prywatnymi pozostaje z reguły bez odzewu lub działania. Autor proponuje wykorzystanie wpierw pierwszej ścieżki, by w przypadku braku reakcji udostępniać publicznie podatności. Oczywiście bez nawoływania do przestępstwa. Dla przykładu: pomimo dwóch osobnych zgłoszeń po 66 godzinach dość poważna luka nadal istnieje, dotyczy ona wstrzyknięcia kodu JavaScript w adres URL aplikacji Syriusz 3.0.

http://www.sarmacja.org/index.php?p=aplikacje,syriusz,targ,<script>document.write(document.cookie)</script>
Dotacje
0,00 lt
Nikt jeszcze nie zasponsorował tego artykułu.
Serduszka
0,00 lt
Ten artykuł lubią: Fryderyk von Hohenzollern, Goglez Pajzano, Marcel Hans, Vladimir von Hochenhaüser.
Komentarze
Avril von Levengothon
W którym miejscu niby widać tą lukę? Bo albo ja jestem idiota, albo nic nie widzę.
Odpowiedz Permalink
Emanuel Śmigło
Skrypt JS przekierowuje użytkownika na inny serwer precyzując np. skrypt PHP zrzucający argumenty GET do pliku czy bazy, w argumencie treść ciastka. Link oczywiście zgrabnie zamaskowany i wrzucony na kanał IRC jako nowy mem, któregoś z mieszkańców.
Permalink
Mikołaj Jan
"nazwy baz, tabel czy kilka identyfikatorów"
Jedna nazwa bazy, z resztą zdaje mi się, że już była podawana do publicznej wiadomości i, nie ukrywajmy, jest dość oczywista. Nazwy tabel- tu fakt, identyfikatory- te i tak są publicznie dostępne (chociażby adres strony profilu danego mieszkańca).
Link fajny, poczytam.

Niemniej ściskam mocno, jak zwykle w takich przypadkach ;*
Permalink

Musisz się zalogować, by móc dodawać komentarze.