Vojtovoplace.cz

Zaregistrovat se Přihlásit se

Icons made by Kiranshastry from www.flaticon.com

Průvodce internetem #2 - Jak se student hacknul do covid registračního systému

20.1.2021

novinky.cz

Tento příběh je starý jako registrační systém sám. Ukážeme si jak se to tedy stalo a kdo za to může.

24letý student se dokázal zaregistrovat na očkování proti covidu, které je zatím přístupné pouze pro starší 80 let. Abychom pochopopili jak se to stalo musíme pochopit co je to Javascript. Javascript je programovací jazyk, který zajišťuje třeba takové to tlačítko "načíst další komentáře", zkrátka a jednoduše dodává webu interaktivnost. Důležité je zmínit, že se vkládá přímo do stránky a lze tedy celý program změnit.

V registračním systému využívali Javascript na kontrolu, jestli rrodné číslo náleží člověku staršímu 80 let. Je to běžná praxe, díky tomu se na server neodesílají zbytečná data, protože se zkontrolují už před odesláním. Ale nikdy, opravdu nikdy nesmíte zapomenout data zkontrolovat i na serveru, protože už nyní všichni víme, že program v javascriptu lze změnit, čehož využil 24letý student. Jestli si autoři systému řekli, že to nikdo zkoušet nebude, tak je to zásadní chyba. Jestli na to autoří zapomněli, tak myslím, že se to může stát každému.

Je to něco jako kdybych zakázal registraci uživatelů se smajlíkem ve jméně, protože by to mohlo něco rozbít a zajistil to pomocí javascriptu. Vy byste ale chtěli mít ve jméně smajlíka a tak byste rozbili ten program, který by to nadále nekontroloval. Mimochodem, když se zaregistrujete se smajlíkem ve jméně, tak by se nic rozbít nemělo, až na to že se nemůžete přihlásit.

Tak zase příště u dalšího dílu Průvodce internetem.


Pokud se vám článek líbil můžete ho sdílet na facebooku nebo na Twittertwitteru
©copyright 2020-2021

Vojtovoplace.cz