martes, 4 de mayo de 2010

Sistema de inscripción a finales (UBA) - Descuido - Facultad de Ingeniería



Revisando un poco las paginas de las universidades di con un archivo de nombre corriente dentro del Sistema de inscripción a finales de la facultad de Ingeniería de la Universidad de Buenos Aires. Como su nombre lo indica, dicho sistema sirve para que los alumnos de la universidad se registren para poder dar los exámenes integradores (finales) de las distintas materias correspondientes a carreras de ingeniería.




Esta de más aclarar la importancia de este sistema y de la información allí alojada. Sin mas rodeos, una captura del contenido de dicho archivo:




Lamentablemente este log da demasiada información, donde adicionalmente de los registros agregados, siendo los mismos ni mas ni menos que números de DNI de estudiantes, podemos ver (recuadro rojo) el nombre de usuario y contraseña de la persona que actualizó dichos registros.


Me pregunto si estos datos servirán para autenticarse en el siguiente panel de administración:




Es por eso que al momento de crear registros de sistema es importante alojar los mismos en una carpeta protegida (para más información leer "¿Acceso restringido? Si, claro..."), o cambiarle los permisos para que solo puedan ser visualizados por un determinado grupo de usuarios dentro del servidor.


Por suerte parece que al administrador, quien por cierto tiene un humor bastante particular al momento de crear credenciales, elimino o movió dicho archivo. Estimo que observo los rastros del analisis que realice y se percato del problema.


Ximo

1 comentario:

  1. Upa, upa! Asi que parece que ni la facu de Ingeniería se toma la seguridad muy en serio.Por eso deben existir Ingenieros como Macri o María Julia...por Dios! Muy buen post señor misterioso.Lastima que esté del lado de los buenos, sino ya le hubiese pedido que me haga aprobar Economía toqueteando los registros de la UBA,je,je. Abrazo!

    ResponderEliminar