Sistema de inscripción a finales (UBA) - Descuido - Facultad de Ingeniería



Revisando un poco las paginas de las universidades di con un archivo de nombre corriente dentro del Sistema de inscripción a finales de la facultad de Ingeniería de la Universidad de Buenos Aires. Como su nombre lo indica, dicho sistema sirve para que los alumnos de la universidad se registren para poder dar los exámenes integradores (finales) de las distintas materias correspondientes a carreras de ingeniería.




Esta de más aclarar la importancia de este sistema y de la información allí alojada. Sin mas rodeos, una captura del contenido de dicho archivo:




Lamentablemente este log da demasiada información, donde adicionalmente de los registros agregados, siendo los mismos ni mas ni menos que números de DNI de estudiantes, podemos ver (recuadro rojo) el nombre de usuario y contraseña de la persona que actualizó dichos registros.


Me pregunto si estos datos servirán para autenticarse en el siguiente panel de administración:




Es por eso que al momento de crear registros de sistema es importante alojar los mismos en una carpeta protegida (para más información leer "¿Acceso restringido? Si, claro..."), o cambiarle los permisos para que solo puedan ser visualizados por un determinado grupo de usuarios dentro del servidor.


Por suerte parece que al administrador, quien por cierto tiene un humor bastante particular al momento de crear credenciales, elimino o movió dicho archivo. Estimo que observo los rastros del analisis que realice y se percato del problema.


Ximo

Posteado a las 10:00 el martes, 4 de mayo de 2010 por Ximo y lo metio en , | 1 Comments »