hacking

^{Artikel fra Version2 af Morten K. Thomsen}

Alt, hvad der skal til, er en lille stump Javascript indsat på rette sted i Københavns Universitets e-lærings- og kursusadministrationssystem Absalon.

Herefter kan man få adgang til at ændre i de data, systemet indeholder – herunder lærerens karaktergivning af de studerendes opgaver.

Hullet er af typen cross site scripting (XSS) og blev opdaget af en studerende i eftersommeren 2009 i forbindelse med et kursus i ”Advanced Programming”, som ph.d.-studerende Morten Ib Nielsen afholdt på Datalogisk Institut, DIKU.

»Det var jo meget sjovt, at en studerende kunne ændre banneret på forsiden af Absalon til en reklame for DIKUs studenterportal DIKUtal. Men vi indrapporterede selvfølgelig sårbarheden, så hullet kunne blive lukket,« siger Morten Ib Nielsen til Version2.

Læs hele artiklen på Version2

Bemærk: KU har få dage efter Version2 bragte følgende artikel fået lukket sikkerhedshullet, hvilket fremgår af følgende nyhed fra diku's hjemmeside: http://diku.dk/Nyheder/2010/absalon/

^{Af MORTEN K. THOMSEN, Version2}

Datalogistuderende Christian Panton har som et hobbyprojekt sat sig for at dokumentere sikkerheden i det kommende Rejsekort. Dommen falder hårdt: ’Håbløst lavet.’

Sikkerheden på det kommende Rejsekort får hårde ord med på vejen fra Christian Panton, der er e-science studerende ved DIKU på Københavns Universitet.

Med hjælp fra internettet og en billig RFID-reader/writer har han gravet i Rejsekortets sikkerhed og fundet ud af, at to ud af tre sikkerhedsbarrierer allerede er brudt ned, og det kun er et spørgsmål om tid, før det sidste bolværk ryger.