Skolski e-dnevnik i sigurnost?! - Strana 4

salebab · 19. 09. 2007.

Citat:

Originalno napisao ednevnik

Naime dve skole koje se navode sa propustima u bezbednosti nemaju nikakve poslovne veze sa projektom Elektronskog Dnevnika

Te dve navedene skole su prve dve u vasoj listi osnovnih skola beogradskog okruga kojima ste uveli taj sistem. Logican zakljucak da ste im vi uradili taj sistem. Zar ne?
Sad vidim da su ostale skole na tom drugom sistemu. Ali zasto onda ja kao obican surfer mogu da napravim gresku u SQL upitu pored 5 programera i 20 strucnih saradnika?

ednevnik · 19. 09. 2007.

za Saleta:

hvala na razumevanju, stavicemo u zagradu kod listinga za te skole da nisu deo naseg sistema, niko nije imao u vidu da moze doci do negativne slike o bezbednosti naseg projekta, upravo smo imali nameru da bez averzije prikazemo sve skole koje koriste bilo koja e-dnevnik resenja.

Sto se tice pitanja i losih upita za tekuce baze na nasem serveru prosledjeno je php administratoru, koliko vidim radi se o losem sql upitu bez nekih razloga za veliku brigu, da li je zelja bila da se vide sve skole na serveru ?
Inace sada je stanje takvo da skole-korisnici projekta tek od 01. otkobra krecu sa primenom projekta i trenutno nema nijedne skole na serveru sa ocenama (sve se brise 01. septembra iz prethodne sk. godine) i sada se vrse pripreme za novu sk. godinu.

Sandra

LiquidBrain · 20. 09. 2007.

Citat:

Originalno napisao ednevnik

Sto se tice pitanja i losih upita za tekuce baze na nasem serveru prosledjeno je php administratoru, koliko vidim radi se o losem sql upitu bez nekih razloga za veliku brigu, da li je zelja bila da se vide sve skole na serveru ?

Sandra

Veruj mi da tu ima velikih razloga za brigu...

STELLANOVA · 20. 09. 2007.

Ajd vec kad kritikujes daj razlog konkretno zasto mislis tako, ovo je cista glupost da kazes :

"Veruj mi da tu ima velikih razloga za brigu..."

ako znas nesto onda kazi zasto tako mislis a ne da napises da bi napisao....

LiquidBrain · 20. 09. 2007.

Pa recimo cela struktura baze moze da se mapira na osnovu tog propusta... A samim tim mogu i da izvicem podatke iz baze vezane za autentifikaciju, koristeci union izraze. A cak ni nemora union moze jedan obican select...

primer:
id = (select 1 from blabla)

gde blabla, predstavlja ime tabele...
btw. nije ovo full disclosure pa da se toliko raspishemo...

LiquidBrain · 19. 09. 2007.

Citat:

Originalno napisao salebab

Te dve navedene skole su prve dve u vasoj listi osnovnih skola beogradskog okruga kojima ste uveli taj sistem. Logican zakljucak da ste im vi uradili taj sistem. Zar ne?
Sad vidim da su ostale skole na tom drugom sistemu. Ali zasto onda ja kao obican surfer mogu da napravim gresku u SQL upitu pored 5 programera i 20 strucnih saradnika?

Nemoj tako... to se desava kada Id parametar nije setovan... hihihi...

I ja sam nesto razmisljao o samoj sigurnosti te aplikacije... ali me totalno mrzi i da pogledam o cemu se radi... i cela fama oko e-dnevnika mi je glupa... verujem da se tako kvari odnos poverenja izmedju roditelja i deteta...

Miloje Sekulic · 19. 09. 2007.

Citat:

Originalno napisao LiquidBrain

verujem da se tako kvari odnos poverenja izmedju roditelja i deteta...

Vec vidim zlog hakera koji upada u dnevnik i klincima masovno daje keceve i upisuje goooomile izostanaka, matorcima stizu SMS-ovi, oni lese klince i ukidaju dzeparce, klinci demonstrativno odlucuju da vise ne koriste racunare i ne idu na internet i Srbija jos vise informaticki zaostaje za svetom...

LiquidBrain · 19. 09. 2007.

E bre Miloje sto si takav bukvalista... Zar ne mislish da bi roditelj pre svega trebalo da ima poverenja u svoje dete, kako bi bilo i obrnuto...

bluesman · 19. 09. 2007.

Ja vidim klince koji menjaju keceve u dvojke

I vidim roditelje koji deci menjaju dvojke u cetvorke

Vidim citavo jedno trziste ovde, pravi procvat interneta

^ that's the spirit... pravi jedan optimizam

japan · 19. 09. 2007.

ovaj propust je toliki da ce ga iz aviona videti svako ko je u zivotu napisao bar jedan sql query.

stvarno ne vidim potrebu da se kace shot-ovi, i to sa sve punim podacima te dece.

sem ako je dpt nasledio [es]::defaced, onda da i ja okacim shot?

19. 09. 2007.	#2
ednevnik novi član Datum učlanjenja: 19.09.2007 Poruke: 2 Hvala: 0 0 "Hvala" u 0 poruka	info za Saleta: hvala na razumevanju, stavicemo u zagradu kod listinga za te skole da nisu deo naseg sistema, niko nije imao u vidu da moze doci do negativne slike o bezbednosti naseg projekta, upravo smo imali nameru da bez averzije prikazemo sve skole koje koriste bilo koja e-dnevnik resenja. Sto se tice pitanja i losih upita za tekuce baze na nasem serveru prosledjeno je php administratoru, koliko vidim radi se o losem sql upitu bez nekih razloga za veliku brigu, da li je zelja bila da se vide sve skole na serveru ? Inace sada je stanje takvo da skole-korisnici projekta tek od 01. otkobra krecu sa primenom projekta i trenutno nema nijedne skole na serveru sa ocenama (sve se brise 01. septembra iz prethodne sk. godine) i sada se vrse pripreme za novu sk. godinu. Sandra

20. 09. 2007.	#4
STELLANOVA expert Master Datum učlanjenja: 07.06.2005 Lokacija: EU Poruke: 609 Hvala: 47 51 "Hvala" u 37 poruka	Ajd vec kad kritikujes daj razlog konkretno zasto mislis tako, ovo je cista glupost da kazes : "Veruj mi da tu ima velikih razloga za brigu..." ako znas nesto onda kazi zasto tako mislis a ne da napises da bi napisao.... __________________ Though nothing can bring back the hour Of splendour in the grass, of glory in the flower; We will grieve not, rather find Strength in what remains behind;

20. 09. 2007.	#5
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	Pa recimo cela struktura baze moze da se mapira na osnovu tog propusta... A samim tim mogu i da izvicem podatke iz baze vezane za autentifikaciju, koristeci union izraze. A cak ni nemora union moze jedan obican select... primer: id = (select 1 from blabla) gde blabla, predstavlja ime tabele... btw. nije ovo full disclosure pa da se toliko raspishemo... __________________ http://weevify.com

19. 09. 2007.	#8
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	E bre Miloje sto si takav bukvalista... Zar ne mislish da bi roditelj pre svega trebalo da ima poverenja u svoje dete, kako bi bilo i obrnuto... __________________ http://weevify.com

19. 09. 2007.	#9
bluesman Goran Pilipović Sir Write-a-Lot Datum učlanjenja: 18.05.2005 Lokacija: Beograd Poruke: 5.450 Hvala: 288 1.247 "Hvala" u 446 poruka	Ja vidim klince koji menjaju keceve u dvojke I vidim roditelje koji deci menjaju dvojke u cetvorke Vidim citavo jedno trziste ovde, pravi procvat interneta ^ that's the spirit... pravi jedan optimizam __________________ Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right!

19. 09. 2007.	#10
japan novi klan Professional Datum učlanjenja: 03.02.2007 Poruke: 326 Hvala: 43 427 "Hvala" u 50 poruka	ovaj propust je toliki da ce ga iz aviona videti svako ko je u zivotu napisao bar jedan sql query. stvarno ne vidim potrebu da se kace shot-ovi, i to sa sve punim podacima te dece. sem ako je dpt nasledio [es]::defaced, onda da i ja okacim shot?

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
koja je ova aplikacija (dnevnik.hr video player)	Nemanja Avramović	Sva početnička pitanja	1	10. 04. 2008. 02:19
Korporativna sigurnost/security researcheri	LiquidBrain	e-Business	43	21. 06. 2007. 09:05
Sigurnost i poslovna politika...	LiquidBrain	Web Hosting, web serveri i operativni sistemi	11	06. 05. 2007. 01:25
ptt i sigurnost	nixa	Opušteno	5	23. 03. 2007. 15:50
Firefox i sigurnost	Ilija Studen	Web aplikacije, web servisi i software	43	04. 03. 2006. 23:24