Trzy lata temu postanowiliśmy - razem z grupką osób - stworzyć własny produkt, który nie tylko będzie otwarty, ale też będzie wyjątkowy i niepowtarzalny na naszym rynku. W istocie zaczęliśmy budować produkt nie tylko na rynek polski, ale również dla firm z całego świata, a to oznaczało, że musimy konkurować z takimi firmami jak Microsoft, Salesforce, Oracle, SugarCRM i tysiącami innych firm, gdzie każda z nich ma tysiąckrotnie wyższe budżety na sam marketing niż my mieliśmy na całą firmę!

Brak ochrony przed CSRF od strony praktycznej powoduje, że wchodząć na jakąś stronę (np. forum), atakujący może wykonywać nieautoryzowane zmiany w naszym systemie CRM, ponieważ CRM nie wie, że zmiany tej nie wykonał użytkownik bezpośrednio w systemie, lecz poprzez atak z innej strony. W ten sposób możemy wykonywać dowolne operacje w systemie, takie jak tworzenie użytkowników, dodawanie i modyfikacja rekordów, usuwanie danych i o wiele więcej.

piątek, 01 wrzesień 2017 17:09

SuiteCRM: bardzo słaba obsługa pól email

Każdy system CRM posiada pola mailowe, które są bardzo istotne na każdym etapie obsługi klienta, ponieważ kontakt mailowy jest jednym z najczęstszych kontaktów z firmą lub partnerem. Każda firma może w łatwy sposób określić maksymalną ilośc pól która jest im potrzebna w danej funkcjonalności, np. na kontakcie najczęściej wystarczą 1-3 pola mailowe, danie możliwości wpisania 20 pól mailowych jest nielogiczna i powoduje wiele problemów w porządkowaniu bazy kontaktów.

Każda firma wierzy w to, że zespół który tworzy jest najlepszy. Pomijając aspekty motywujące pracowników, które są bardzo ważne ale na których teraz się nie będę skupiał w tym artykule, należy sobie zadać pytanie, co takiego jest wyjątkowego w firmie, że warto w niej pracować. Gdy czyta się różne ogłoszenia o pracę, ma się wrażanie, że każda firma jest fajna. Gdy patrzy na firmę jej właściciel, gdy ocenia ją z perspektywy tego co było i tego co jest i do tego uwzględni realne możliwości budowania fajnego zespołu, zawsze pozostaje pytanie czy konkurencja ma lepszy zespół niż my. Choć zawsze mieliśmy o tym wewnętrzne przekonanie, to docenienie naszych specjalistów przez konkurencje jest czymś wyjątkowym!

Wgrywanie plików zalicza się do najczęściej występujących funkcjonalności w aplikacjach WWW. W szczególności dotyczy to systemów biznesowych w których dodawanie obrazków, dokumentów i różnego rodzaju plików jest podstawową funkcjonalnością. Ze względu na różne obszary ataku na tego typu funkcjonalność, firmy zajmujące się bezpieczeństwem niejednokrotnie zaczynają testowanie aplikacji od sprawdzenia podatności w tym mechanizmie. Dlatego należy zwrócić szczególną uwagę na tego typu miejsca, aby zapewnić im odpowiedni poziom bezpieczeństwa. Od strony technicznej znajdziemy bardzo wiele bardzo dobrych artykułów opisujących ten atak i jak się przed nim bronić, jeden z naszych ulubionych to: https://sekurak.pl/bezpieczenstwo-aplikacji-webowych-podatnosci-w-mechanizmach-uploadu/.