+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Neadekvatno zaštićeni resursi (https://bezbedanbalkan.net/forum-7.html)
+--- Thread: Ranjivost u okviru portala ministarstva prosvete (/thread-1897.html)
Ranjivost u okviru portala ministarstva prosvete - seraphim - 04-03-2025
U okviru portala ministarstva prosvete pronadjena je ranjivost IDOR tipa na vise api endpointa koja rezultuje u curenju personalnih podataka(ukljucujuci i brojeva platnih kartica).
Ranjivost je prijavljena certu i po popravljanju bice objavljeno vise detalja.
RE: Ranjivost u okviru portala ministarstva prosvete - milos_rs - 04-03-2025
Ovo je ozbiljan propust ako se može vršiti enumeracija svih korisnika na portalu.
ali platne kartice? To mi je neobično, retko ko čuva platne kartice nego vrši transakcije preko eksternih APIja prema bankama i nikad ni ne vidi podatke kartice nego samo da li je transakcija uspela ili nije
RE: Ranjivost u okviru portala ministarstva prosvete - seraphim - 04-03-2025
(04-03-2025, 06:25 PM)milos_rs Wrote: Ovo je ozbiljan propust ako se može vršiti enumeracija svih korisnika na portalu.
ali platne kartice? To mi je neobično, retko ko čuva platne kartice nego vrši transakcije preko eksternih APIja prema bankama i nikad ni ne vidi podatke kartice nego samo da li je transakcija uspela ili nije
Da,doslovno se moze pristupiti svim podacima korisnika na osnovu njihovih user ida(na drugom endpointu na osnovu id-a "prijave"),a cinjenica da su platni podaci u okviru toga bice razjasnjena kada budu popravili ranjivost...
Mada opet ne bi morali(i trebali) da se vracaju korisniku,oni izgleda ceo objekat povuku iz baze,i korisniku potrebne i nepotrebne informacije...
RE: Ranjivost u okviru portala ministarstva prosvete - milos_rs - 04-03-2025
nemamo facepalm emoji pa će poslužiti i ovaj:
Nisam skroz upoznat sa detaljima regulacije i zahteve banaka za čuvanje kartica ali znam da je veoma striktna i da mora da se prolaze razne sertifikacije da bi uopšte smeo da držiš kartice kod sebe na sistemima, uglavnom se zbog toga koristi neka tokenizacija kartica koja može da se koristi prema payment procesoru ali je beskorisna ako se ukrade.
Ovo je jako opasan propust kao i otkriće da čuvaju kartice
RE: Ranjivost u okviru portala ministarstva prosvete - seraphim - 04-05-2025
U okviru aplikacije postoji jos jedan endpoint koji sadrzi IDOR tip ranjivosti.
Za sada ranjivosti nisu popravljene.
RE: Ranjivost u okviru portala ministarstva prosvete - VincaSec - 04-06-2025
Za ovo bi na Bug Bounty dobio fino lovu
RE: Ranjivost u okviru portala ministarstva prosvete - seraphim - 04-06-2025
(04-06-2025, 03:03 PM)VincaSec Wrote: Za ovo bi na Bug Bounty dobio fino lovu
Verovatno
Samo da ne dobijem domacu varijantu bounty-a, sudski proces i/ili zatvorsku kaznu...
Sta ja ima njima da pricam sta su ranjivosti...
Jos uvek nisu popravili,a platforma je bila jedan dan ugasena,radi odrzavanja...
RE: Ranjivost u okviru portala ministarstva prosvete - Aleksandar.Ristić - 04-09-2025
Inače - teorija kako kartice mogu završiti po raznim državnim informatičkim sistemima - evo meni kao roditelju školarca, već par godina uzastopno škola traži informacije o računu za uplatu pomoći od grada. Ova pomoć je osmišljena tako da pokrije troškove udžbenika deci itd, da ne ulazim sada u to. No, suština je što već par godina uzastopno, uz obrazac koji sadrži broj računa, ime banke i ime i prezime vlasnika računa - oni bez pardona traže i - pazi sad - fotokopiju platne kartice (insert clown emoji here).
Jedva sam ubedio roditelje iz odeljenja da ovo ne rade, i da ako apsolutno žele da ispune formu - dostave fotokopiju kartice sa prekrivenim osetljivim podacima (eg: ostave samo ime i prezime, i broj računa, što se inače dostavlja i kroz formular).
Dakle, nisam 100% da je ovo izvor u ovom slučaju koji je OP otkrio, ali je svakako moguće da se ovakvi mehanizmi za prikupljanje osetljivih podataka koriste širom drage nam države, i da njih ukratko - briga i za PCI/DSS i za bilo šta drugo.