Izskatās , ka tiesības tiek veidotas kopēji grupai , lai gan
vajadzētu katram lietotājam individuāli.
Kas no tā izriet?
Pieņemsim , ka Pētera Kalniņa ID numurs ir id=88001 un Annas
Liepiņas ID numurs ir id=88002.
Sekojoši, Pēteris nevar piekļūt Annas datiem un vice versa,
taču…
Ja Pēteris pamaina ID numuru uz Annas ID numuru, tad var
pilnīgi droši piekļūt viņas datiem, t.i izvērtēšanas tabulai, kurā var mainīt
datus.
Protams , šīs izmaiņas tiks reģistrētas un Pētera neģēlība
tiks pamanīta, taču šādai iespējai pat nebūtu jābūt.
Vienīgais , kas priecē ir tas, ka ir veidotas grupas uz visu
iestādi, tātad vienas iestādes darbinieki nevar piekļūt citu iestāžu darbinieku
anketām (teorētiski, jo dziļāk neesmu pētījis).
Lai gan uzmetot acis source code, nāk prātā pāris exploiti datu izmānīšanai no bāzes, bet tas tā ..lirika..
P.S. Diemžēl aplūkojot weblapu un tās palīdzības vietni,
neatradu nekādu atsauci (e-pastu, telefonu),
kur ziņot par sistēmā atrastajām kļūdām.
P.S.S Dziļāk laikam nepētīšu, negribās iet NEO pēdās.
0 comments :
Post a Comment
Comment: