VPNT Long An là hệ thống tra cứu điểm của các trường trung học tại Long An. Mình phát hiện có lỗi đăng nhập trong hệ thống này. Lỗi liên quan đến hệ thống xử lý đăng nhập là lỗi nghiêm trọng. Cần được kiểm tra và khắc phục sớm để bảo đảm quyền riêng tư cho khách hàng.
Mình sẽ chỉ bạn cách đăng nhập không cần mật khẩu để chứng minh lỗi đăng nhập của VNPT Long An. Nếu bạn có thể liên lạc được với lãnh đạo hoặc người điều hành website này, hãy thông báo với họ về lỗi này nhé !
Cách đăng nhập vào Website VNPT không cần mật khẩu
Thông thường, khi phụ huynh đã đăng ký dịch vụ tra cứu điểm online thì sẽ có mật khẩu để xem điểm. Để có thể xem được điểm của học sinh, phụ huynh phải điền đúng số điện thoại và mật khẩu đã đăng ký tại trang chủ https://school.vnptlongan.vn/
Nếu đăng nhập đúng tài khoản và mật khẩu, thì bạn sẽ được chuyển đến trang xem điểm https://school.vnptlongan.vn/xem-diem
Nhưng đột nhiên mình thấy có một vài trục trặc trên website này. Mình xin phép không nói cụ thể về đoạn code bị lỗi . Tránh trường hợp Hacker khai thác và tấn công vào cơ sở dữ liệu. Bây giờ mình sẽ chứng minh lỗi đó cho bạn xem.
Mình có liên hệ một phụ huynh có con học tại Long An và có đăng ký dịch vụ xem điểm online. Mình điền vào số điện thoại đã đăng kí vào ô đăng nhập. Nhưng mật khẩu thì mình điền bậy bạ vì mình không có hỏi mật khẩu của người này.
Khi mình ấn đăng nhập thì sẽ bị báo mật khẩu sai như ảnh trên. Tuy nhiên, mình đổi địa chỉ truy cập thành trang xem điểm https://school.vnptlongan.vn/xem-diem thì lại xem được điểm của số điện thoại đó.
Tóm lược
Hệ thống đã thực hiện việc kiểm tra mật khẩu trên Cơ sở dữ liệu. Tuy nhiên, lại cấp quyền xem điểm cho số điện thoại đó. Mình nhập sai mật khẩu nhưng vẫn xem được điểm. Có lẽ đây là một lỗi đáng cân nhắc.
Mình không chụp ảnh điểm của học sinh đó vì mình tôn trọng quyền riêng tư của em ấy. Bạn nào đang là lập trình viên back-end thì nên lưu ý trường hợp này. Vì lỗi này sẽ khiến website trở nên mất uy tín và tin tưởng của người dùng.
Một website được xem là hoàn hảo khi cả hai yếu tố Front-end (Giao diện) và Back-end (Xử lý dữ liệu) đều ổn. Bài viết này là một bài học quý giá cho các bạn đang theo học lập trình web hướng Back-end.
Hi vọng website VNPT Long An sẽ được thông báo sớm về tình trạng lỗi này và khắc phục.
No comments:
Post a Comment