Bezbedan Balkan Bezbednost državnih resursa Neadekvatno zaštićeni resursi v
Zaštita ličnih podataka građana "nevidljivim" linkom

Threaded Mode
Zaštita ličnih podataka građana "nevidljivim" linkom
1van Offline
Posting Freak
*****
Posts: 1,728
Threads: 664
Joined: Sep 2022
Reputation: 126
#1
10-21-2022, 06:19 PM
Pre izvesnog vremena ovo što vidite na slici ispod objavio je jedan član foruma na svom Twitter nalogu. U prevodu podatke građana je mogao da prikupi bilo ko samo pogađajući linkove. Rešenje "stručnjaka" je da poveća link i smanji vreme brisanja generisanih dokumenata.

Samo iz ovog teksta ja sam zaključio da tu postoji:
  • A01 - Broken Access Control 
  • A04 - Insecure Design 
  • A07 - Identification and Authentication Failures 
  • A09 - Security Logging and Monitoring Failures

I da nakon primene mera za ublažavanje i dalje imamo iste ranjivosti.
I dalje će dokumenti sa ličnim podacima stajati na serveru i moćiće da im se pristupi bez adekvatne autorizacije i autentifikacije.
I dalje niko ništa neće preuzeti ako fajlu pristupi treća osoba.
I dalje će link ka dokumentu moći da se otkrije od strane trećeg lica u npr. "proxiranom" saobraćaju, istoriji pretraživača ili pogađanjem URL-a. 

Izvori i dodatne info: 
- https://twitter.com/Joshibeast/status/15...3576083464
https://twitter.com/ivanmarkovicsec/stat...8945927178
https://twitter.com/ivanmarkovicsec/stat...6269654017

Treba napomenuti da još mnogo državnih servisa funkcioniše na sličan način, i da podaci građana nisu adekvatno zaštićeni.


[Image: attachment.php?aid=123]


Attached Files Image(s)
   
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Website Find
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)