Bezbednost web aplikacija – primer Mikroknjiga.rs

Manje više slučajno naleteh na još jedan benigni problem vezan za bezbednost web aplikacija kod još jednog renomiranog imena u svojoj branši. U pitanju je Mikro knjiga, renomirani izdavač knjiga gde i sam često kupujem naslove iz oblasti informacionih tehnologija.
Da odmah budem potpuno jasan. Ni ovde, kao ni i u predhodnom primeru o kome sam pisao, nije direktno ugrožen integritet aplikacije.

Ipak, iz iskustva, kada ovako nešto postoji, često su tu i ozbiljniji propusti. Ja ne tvrdim da ozbiljnih propusta zaista i ima, samo kažem šta se često dešava u praksi.

O čemu se zapravo radi?
Da počnem od početka, kako je počelo druženje između Mikro knjige i mene.

Pre skoro 10 godina, kada sam počeo da se bavim programiranjem u PHP-u, prva knjiga koju sam kupio i uz pomoć koje sam napravio prve korake u razvoju web aplikacija bila je PHP/Mysql Razvoj aplikacija za web. Kupio sam je naravno u Mikro knjizi. Od tada do danas, kupio sam dosta knjiga kod njih, pa tako i juče (juče = 14.01.2014.).

Oko podneva sam naručio knjigu i platio je preko ebankinga čim je stigao predračun.

Ono što me je oduševilo je to što sam sutradan, tj danas, oko 09h dobio SMS od kuriske službe gde je pisalo da su primili moju pošiljku i da će mi biti isporučena u toku dana.

Naručio knjigu, platio istog dana i sutra dan je kod mene. Bravo za Mikro knjigu.

Obično je bilo da platim danas, oni sutra pošalju i ja dobijem prekosutra. I to mi je sasvim ok, ali je ovo pravi bingo.

Odem kod njih na sajt, ulogujem se, i odem da vidim svoje porudžbine. Vidim da piše da je isporučeno i da mogu da ištampam račun i dostavnicu. Kliknem da ištampam račun, više iz radoznalosti nego što mi on stvarno treba i dobijem sledeću stranicu:

Nema štampanja sopstevnog računa?!OK, čudno što ne mogu da preuzmem račun, platio sam, poslali su, svi uslovi da račun postoji su ispunjeni, ali ok, šta je tu je.

Pokušam da preuzmem dostavnicu, kliknem i ona radi. Super.

E sad, ponekad umem da namirišem propust, ili bar mesto gde da ga tražim. E ovde sam imao taj osećaj.
Sumnju je podgrejalo to što ne mogu da preuzmem račun a naročito rudimentalan izgled stranice sa porukom da nemam pristup sopstvenom računu. Prosto, deluje nezavšeno.

Promenim parametar u URL-u koji se odnosi na broj dostavnice i imam šta da vidim. Evo i nje, neki sasvim drugi kupac. Promenim ponovo, evo je nova. I tako još nekoliko puta, sve različiti kupci knjiga.

Ok, programer koji je radio sajt je verovatno zaboravio da osim provere da li je korisnik prijavljen izvrši i proveru da li taj prijavljeni korisnik ima dozvolu da pogleda traženi dokument.

Sledeća stvar koju radim u ovakvim slučajevima je provera da li neko ko nije prijavljen može da dobije dokument.

Otvorim drugi browser, preko kog nisam prijavljen, unesem URL, ops…evo je moja. Promenim parametar vezan za ID dostavnice u URL-u, evo je još jedna.

Neprijavljen, mogu da gledam bilo čije dostavnice?! To tek nije cool. Nije ništa strašno, ali jednostavno nije lepo da bilo ko može tek tako da gleda šta ko kupuje i da vidi lične podatke o kupcima.

Evo i par dostavnica (privatni podaci su sakriveni):

Dostavnica 1 Dostavnica 2Dostavnica 3

Mogućnosti zloupotrebe ovih podataka su različite.

Jedna, koja mi odmah pada na pamet je da mogu da vidim šta ko voli po tome koju knjigu je naručio. A kako na dostavnici uglavnom postoje kompletni podaci o kupcu (ime i prezime, adresa, broj telefona, email adresa) eto i mogućnosti za neki targetirani marketing.

Takođe, moguće je videti i recimo koliki rabat ima Kompjuter biblioteka ili Delfi knjižare kada kupuju od Mikro knjige.

I kao što i rekoh na početku, ovaj propust nema direktan uticaj na integritet web sajta Mikro knjige. Ipak, sama mogućnost da neko može da gleda ko je šta kupovao i da lični podaci kupaca budu na izvolte jednostavno nije ok.

Sa druge strane, moram da kažem je komercijala Mikro knjige za svaku pohvalu. Dok sam pisao ovaj članak, stigao je kurir sa knjigom (od trenutka naručivanja do knjige u mojim rukama prošlo je manje od 24h) i od mene, po tom pitanju, imaju sve pohvale.

Na kraju, da dodam i da sam pre objave ovog članka kontaktirao Mikro knjigu i ukazao na problem. U emailu  sam takođe napomenuo da planiram da napišem članak o tome ali tek nakon što oni reše problem. Gospodin Tanaskoski iz Mikro Knjige se ubrzo javio, rekao da je problem rešen i ja sam tek tada kliknuo na dugme “Publish”.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *