Uncategorized

Validando la página de ESCOM


El día de hoy, revisando la página de ESCOM me encuentro con que han armado una página de registro para el evento en el que planea reunir a las 10 generaciones de egresados. Aunque no tengo planeado asistir, me registro y junto con otro egresado “Andry”, nos ponemos a “validar” la página.

Luego de recibir nuestra contraseña y firmarnos, resulta que encontramos que podemos poner el nombre que queramos e incluso copiar algún número de boleta de algún otro compañero. Esto me indica que no se cuenta con ningún tipo de información previa para validar que los datos sean correctos, lo cual hasta cierto grado es admisible porque 1) Quién sabe si la escuela les podrá soltar estos datos y 2) si no estaban en electrónico ¿quién iba a capturarlos?. Hasta aquí pues nada extraño, a excepción de que Osama Bin Laden estudió en ESCOM.


Luego nos encontramos con que en la lista de registrados hay con campos que se supone obligatorios, pero están vacíos. Hacemos la prueba de capturar espacios en blanco y me encuentro que también me lo permite. Esto pues si ya es algo de descuido, al menos porque se puede uno valer del método String.trim() para evitarlo.


Ahora en la noche se me viene a la mente hacer algunas pruebas de seguridad, como la ya clásica de las comillas simples (‘) idónea para tronar expresiones SQL, y también recibo de premio una excepción.

Hasta ahora todo admisible. Finalmente pruebo con la expresión: ‘=’ or ” = ” y ¡para mi asombro me logro logear sin tener usuario! Esta si que es grave porque puedo consultar y mover información que no me corresponde. Decido concluir las pruebas.


Supongo que es mejor que un egresado lo descubra a que lo haga alguien más. En fin, es parte de como se va formando la experiencia en estas cosas. A comparación de la página que teníamos en mi generación, puedo afirmar que esta resulta mucho mejor y no está del todo mal. Así que seguiremos esperando y exigiendo más. Por ahora, envío un correo al administrador pues tampoco es mi intención hacerla de “cracker” y espero sinceramente que no me ESCOMulgen.

ACTUALIZACION: El dia de hoy (26 de abril de 2007) volví a verifica la página y el problema ha sido corregido, o al menos parchado. Bueno, al menos sirvió de algo enviarles el correo.

Estándar

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s