Quote:Što se tiče novog sajte euprave ima dobrih i loših strana. Loša je što sajt najverovatnije nije prošao nikakav pentest ili pentest nije bio adekvatan. Juče sam im javio dve ozbiljnije IDOR ranjivosti od kojih je jedna davala mogućnost bilo kom korisniku da obriše apsolutno....

...sve fajlove koje su drugi korisnici uploadovali na svoje naloge. Druga IDOR ranjivost je bila vezana za edit samih dokumenata na sistemu gde ste mogli da menjate opise i nazive tuđih dokumenata.

Dobra stvar je brzina njihove reakcije jer im je trebalo svega nekoliko sati od moje poruke na twitteru da ranjivosti isprave. Dobra stvar su naravno i nove opcije.

Svakako smatram da je nedopustivo da se ozbiljni servisi koji sadrže veliki broj podataka građana puštaju bez bezbednosnih provera samih sistema. Međutim to nije problem euprave nego generalno opšteg stanja i svesti o informacionoj bezbednosti u Srbiji.

Quote:Samo me zanima koliko ozbiljan incident treba da se desi da bi država promenila pristup. Situacija je takva da ja bukvalno ne smem javno da napišem kakvu užasnu ranjivost sam prijavio eupravi, iako je bug popravljen odmah po prijavi a prošlo je već skoro pola godine.