Christoffer Hoel

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Re: NemBarn (mobil) login

Men hvis Rudersdal selv drifter, hvorfor er der så institutioner på listen (se mit forrige indlæg) fra f.eks. Lyngby og Kalundborg?

Hvorfor ingen robots.txt ?

Tænk på hvor meget en robots.txt ville kunne hjælpe på "sikkerheden" af de her systemer. Tjek f.eks. denne liste over institutioner i hele Storkøbenhavn (eller er det Sjælland?) http://brugerintra.rudersdal.dk/institutioner.aspx. Den er et godt udgangspunkt, hvis man har onde hensigter.

Re: NemBarn (mobil) login

Har du HTTP request-> response udskrift? En ugyldig url giver det, f.eks. http://nemboern.herning.dk/AppV2/blah (se kilde-koden), men det kan man ikke bruge til så meget.

NemBarn (mobil) login

Login foregår ukrypteret over http som almindelig form-data. Hvis et login fejler får man 500 Internal Server Error som svar med et stacktrace fra .NET: <LoginError> <Message>Fejl ved Login.</Message> <ErrorDetails>System.FormatException: Guid should contain...

Re: Nu er jeg også en hacker...

Rudersdals system (NemBarn) er ikke lavet af Infoba, så vidt jeg ved. Jeg har kun overfladisk kigget på "rene" requests. Ved ikke om jeg tør at kigge systemet nærmere i sømmene. Der er vel også mulighed for "header-injektion", hvis ikke brugernavn/password bliver escaped.

Re: Nu er jeg også en hacker...

Gade F - vidste slet ikke, at man kunne komme så lang ned på skalaen :-(

Nu er jeg også en hacker...

Jeg brugte 5 minutter med app&#039;en fra min kommune (Rudersdal) og Charles Proxy. Her er hvad jeg fandt uden at kigge i dybden: Opslag (f.eks. nyheder, madplaner) fra min søns institution er offentligt tilgængelige, hvis man har den rette url. Man vil kunne finde alle opslag ved at ændre på...