/ programowanie

Uczelnia SWSPIZ i zabezpieczenia internetowych bibliotek

Eh, nie wiem czy każdy tak ma ale jeśli zobaczę coś co jest słabo "zabezpieczone" to muszę się tym pobawić ;-) Jakiś czas temu przeglądałem sobie stronę uczelni -
www.swspiz.pl. Dziwnym trafem kliknąłem dział biblioteka. Na dole strony znajduje się lista internetowych bibliotek. Przy każdej znajdują się dwa linki. Pierwszy to dostęp bezpośrednio z uczelni gdzie nie trzeba się logować. Drugi daje możliwość zalogowania się z każdego innego miejsca. Jednak tutaj potrzebne jest login i hasło.

Cóż. Kliknąłem pierwszy link. Ukazało się okno logowania. Po przeczytaniu instrukcji logowania.. spójrzcie sami.

Biblioteka Online - Logowanie

Trudne czyż nie? ;-)

Powiedzmy, że zalogowanie się jako student jest trudniejsze. Powiedzmy. Musimy znać imię, nazwisko i numer indeksu. Ale po co nam konto studenta? Konto wykładowcy lepsze! ;-)

Login.

Imię i nazwisko wykładowcy uczelni. Hm, skąd tu to wziąć? Czekajcie! Przecież na stronie szkoły są wymienieni wszyscy! Mamy w takim razie dużą liczbę loginów.

Hasło.

W pierwszym momencie stwierdziłem, ze prostym sposobem jest napisanie skryptu, który przy użyciu curla będzie próbował się zalogować używając loginu, który już miałem oraz wygeneroanego hasła. Generowanie hasła to po prostu pętla, która zwiększa datę umieszczoną w pierwszych czterech cyfrach numeru pesel. Proste. Szczerze to nawet szybko napisałem takie coś. Uruchomiłem. Okazało się, że logowanie nie sprawdza ilości nieudanych prób logowań. No dobra.. szczerze to nawet się tego nie spodziewałem.

Hasło wersja prostsza.

Podczas gdy sobie tak spoglądałem na informacje, które wyrzuca do konsoli mój programik.. wpadłem na lepszy pomysł. Przecież na pewno część wykładowców takiej uczelni to jakieś "znane" osoby. Na pewno mogę je znaleźć w internecie. I rzeczywiście tak było. Wybrałem sobie jedną osobę z listy profesorów, wpisałem w Google i na pierwszym miejscu ukazała się... wikipedia ;-) Nie będe tutaj wklejał kogo znalazłem. Jeśli ktoś chce to sprawdzić to nie trudno. Na wikipedii dana osoba oczywiście miała wpisaną datę urodzenia. Czyli mamy już wszystko do logowania! :-)

Z tego co widzę to na stronie znajdują się linki do 4 bibliotek. Do każdej logowanie odbywa się tym samym loginem i hasłem. Nie przyglądałem się w sumie co tam jest.

Emerald - bez logowania się nie obejdzie

SWSPIZ - Emerald

Ibuk.pl - nie sprawdzałem dokładnie ale po zalogowaniu nie widzę różnicy, oprócz widocznej nazwy użytkownika po prawej stronie u góry

SWSPIZ - ibuk.pl

EBSCO - możliwe, że da się jakoś wejść bez logowania aczkolwiek nie sprawdzałem

SWSPIZ - EBSCO

WBN. Do tego nie wiem po co jest logowanie. Bez logowania wygląda identycznie i na pierwszy rzut oka ma te same funkcje.

W sumie to nic mi to nie dało. Pobawiłem się tylko chwilę. Nie wiem dokładnie do czego dostęp można uzyskać bez logowania. Możliwe, że jest możliwość otrzymania tych informacji bez dostępu do konta. Ale w takim razie.. po co logowanie do wszystkich czterech systemów? Widać tutaj tylko, że to logowanie jest niepotrzebne ;-)

Równie dobrze mogli zrobić login jako adres strony, a hasło pierwsze cztery cyfry adresu ip ;-)

Oby więcej takich zabezpieczeń.