Brak ochrony przed CSRF od strony praktycznej powoduje, że wchodząć na jakąś stronę [np. forum] atakujący może wykonywać nieautoryzowane zmiany w naszym systemie CRM, ponieważ CRM nie wie tego, że zmianę tą nie wykonał użytkownik bezpośrednio w systemie, lecz poprzez atak z innej strony. W ten sposób możemy wykonywać dowolne operacje w systemie takie jak tworzenie użytkowników, dodawanie i modyfikacja rekordów, usuwanie danych i o wiele więcej.

piątek, 01 wrzesień 2017 17:09

SuiteCRM: bardzo słaba obsługa pól email

Każdy system CRM posiada pola mailowe, które są bardzo istotne na każdym etapie obsługi klienta, ponieważ kontakt mailowy jest jednym z najczęstszych kontaktów z firmą lub partnerem. Każda firma może w łatwy sposób określić maksymalną ilośc pól która jest im potrzebna w danej funkcjonalności, np. na kontakcie najczęściej wystarczą 1-3 pola mailowe, danie możliwości wpisania 20 pól mailowych jest nielogiczna i powoduje wiele problemów w porządkowaniu bazy kontaktów.

Każda firma wierzy w to, że zespół który tworzy jest najlepszy. Pomijając aspekty motywujące pracowników, które są bardzo ważne ale na których teraz się nie będę skupiał w tym artykule, należy sobie zadać pytanie, co takiego jest wyjątkowego w firmie, że warto w niej pracować. Gdy czyta się różne ogłoszenia o pracę, ma się wrażanie, że każda firma jest fajna. Gdy patrzy na firmę jej właściciel, gdy ocenia ją z perspektywy tego co było i tego co jest i do tego uwzględni realne możliwości budowania fajnego zespołu, zawsze pozostaje pytanie czy konkurencja ma lepszy zespół niż my. Choć zawsze mieliśmy o tym wewnętrzne przekonanie, to docenienie naszych specjalistów przez konkurencje jest czymś wyjątkowym!

Wgrywanie plików zalicza się do najczęściej występujących funkcjonalności w aplikacjach WWW. W szczególności dotyczy to systemów biznesowych w których dodawanie obrazków, dokumentów i różnego rodzaju plików jest podstawową funkcjonalnością. Ze względu na różne obszary ataku na tego typu funkcjonalność, firmy zajmujące się bezpieczeństwem niejednokrotnie zaczynają testowanie aplikacji od sprawdzenia podatności w tym mechanizmie. Dlatego należy zwrócić szczególną uwagę na tego typu miejsca, aby zapewnić im odpowiedni poziom bezpieczeństwa. Od strony technicznej znajdziemy bardzo wiele bardzo dobrych artykułów opisujących ten atak i jak się przed nim bronić, jeden z naszych ulubionych to: https://sekurak.pl/bezpieczenstwo-aplikacji-webowych-podatnosci-w-mechanizmach-uploadu/.

W internecie jest dostępnych wiele narzędzi online, które pozwalają producentom, dostawcom i klientom weryfikować aktualny stan zabezpieczeń ustawiony dla systemu dostępnego online. Choć systemy klasy CRM/ERP najczęściej nie są dostępne publicznie, o tyle wersje demo producentów już tak. Postaramy się przybliżyć tematykę zabezpieczeń, które są istotne dla każdego systemu webowego a tym bardziej dla projektów open source, które każdy może dowolnie dostosować pod swoje wymagania, również te, związane z bezpieczeństwem.