Luego de recibir nuestra contraseña y firmarnos, resulta que encontramos que podemos poner el nombre que queramos e incluso copiar algún número de boleta de algún otro compañero. Esto me indica que no se cuenta con ningún tipo de información previa para validar que los datos sean correctos, lo cual hasta cierto grado es admisible porque 1) Quién sabe si la escuela les podrá soltar estos datos y 2) si no estaban en electrónico ¿quién iba a capturarlos?. Hasta aquí pues nada extraño, a excepción de que Osama Bin Laden estudió en ESCOM.
Luego nos encontramos con que en la lista de registrados hay con campos que se supone obligatorios, pero están vacíos. Hacemos la prueba de capturar espacios en blanco y me encuentro que también me lo permite. Esto pues si ya es algo de descuido, al menos porque se puede uno valer del método String.trim() para evitarlo.
Ahora en la noche se me viene a la mente hacer algunas pruebas de seguridad, como la ya clásica de las comillas simples (‘) idónea para tronar expresiones SQL, y también recibo de premio una excepción.
Hasta ahora todo admisible. Finalmente pruebo con la expresión: ‘=’ or » = » y ¡para mi asombro me logro logear sin tener usuario! Esta si que es grave porque puedo consultar y mover información que no me corresponde. Decido concluir las pruebas.
Supongo que es mejor que un egresado lo descubra a que lo haga alguien más. En fin, es parte de como se va formando la experiencia en estas cosas. A comparación de la página que teníamos en mi generación, puedo afirmar que esta resulta mucho mejor y no está del todo mal. Así que seguiremos esperando y exigiendo más. Por ahora, envío un correo al administrador pues tampoco es mi intención hacerla de «cracker» y espero sinceramente que no me ESCOMulgen.
ACTUALIZACION: El dia de hoy (26 de abril de 2007) volví a verifica la página y el problema ha sido corregido, o al menos parchado. Bueno, al menos sirvió de algo enviarles el correo.
blagora.blog 