Przepraszam za brak wiedzy w tej sprawie.
Mój uniwersytet (w zasadzie międzynarodowy uniwersytet w Wielkiej Brytanii, który ma studentów z różnych krajów) ma stronę internetową, która wymaga od studentów zalogowania się przed mają dostęp do wyników egzaminów. Wyniki te zawierają również ich imię i nazwisko oraz adres.
Ale po sprawdzeniu transakcji sieciowej odkryłem, że trafiła ona na stronę, która bezpośrednio pobiera numer rejestracyjny studenta w adresie URL i wyświetla wynik egzaminu z tym związany. Ta strona jest dostępna bez logowania się na konto studenta i bez żadnych kłopotów, dała mi wynik egzaminu, który ujawnił nazwisko i adres studenta. Próbowałem wielu numerów rejestracyjnych podobnych do mojego i wszystkie były łatwo przetwarzane.
Innym problemem jest to, że te numery rejestracyjne mają stałą długość, zawierają tylko liczby i są w porządku rosnącym. Na przykład, jeśli prawidłowy numer rejestracyjny to 000001, następny będzie 000002 itd.
Więc moim zdaniem atakujący może łatwo stworzyć automatyczny program, który mógłby generować te numery rejestracyjne, losowo lub w zamówić i uzyskać nazwiska i adresy setek studentów.
Moje pytania to:
- Czy ujawnianie nazwisk i adresów studentów jest powszechnie akceptowaną praktyką uniwersytetów?
- Czy powszechnie uznaną praktyką uniwersytetów jest to, że silne zabezpieczenia dotyczące nazwy i adresu nie są ważne?
- Czy jest to poważny atak i czy muszę im to zgłosić? A może można ją po prostu zignorować?
Aktualizacja:
Otrzymałem odpowiedź z uniwersytetu i teraz ją poprawili. Dziękuję wam wszystkim.