Hej,
På vores skole (faktisk hele kommunen) er der et intranet, hvori alle har en
mail, forum og sådan noget.
Jeg falder så over et sikkerhedshul, som tillader at alle kan sende mail fra
en hvilken som helst bruger. Altså udgive sig for at være en anden afsender
end man er.
Det ville jeg teste, og satte vha. nogle POST-variabler og sessions
(ikke-nørder: nevermind), modtager til mig, og afsender til vores
IT-administrator.
Jeg havde så tænkt at lige vise ham det, og få ham til at lappe hullet.
Skæbnen ville, at brevet blev afsendt - til alle på intranettet (alle
personer på alle tre skoler i kommunen) - fra IT-administratoren - ikke
smart (d'oh).
Der er ingen skade sket - såvidt jeg kan bedømme - udover at der er sendt en
masse intern mail.
Jeg er netop blevet ringet op af vores IT-administrator, som naturligt nok,
ikke er så glad for at alle har modtaget mail fra ham, som han ikke har
sendt, og han bad mig pænt om at stoppe med mine.... tests.
Jeg har før fundet fejl i intranet-softwaren, som også blev rettet, men som
ikke havde nogle konsekvenser (d.v.s. ingen kunne 'se' noget). Der var de da
yderst flinke (jaja, det er jo gratis sikkerhedshjælp til dem
Hvor står jeg nu - Jeg har naturligvis ikke forsøgt hverken at spoofe min
IP, eller andre smarte tricks - det virkede bare ikke efter hensigten.
Min hensigt var jo ikke at sende til alle, men at se hvor (om?) slemt det
stod til med sikkerheden.
Sagt på en anden måde: Kan de komme med erstatsningskrav [på godt dansk: vil
de kunne vinde]...?
Hvis det er af betydning, er jeg under 18 og over 15.
Se, det blev jo en lang post.. Håber nogen kan svare... :)