Aksidente ko na makitaan ng butas yung DTR/PAYROLL system sa agency

[elbawonknu]

so ganito syempre nag aaral ako ng web dev aminin ko man hindi pa ako ka beterano sa larangan na web development...so ito kagabi boring at wala akong magawa nag open ako ng dtr namin sa agency company pero main account...ayun tapos inspect element...tapos nag try ako ng mag file ng OT tapos tinarget ko yung SUBMIT button dun tapos sa inspect element nalabas nakaonclick na may function tapos my id number ko yun ang nalabas sa html...ayun trinay ko baguhin yung value sa function pinalitan ko ng id number ng tropa ko...tapos pag click ko ng submit yung file ko ng OT sa main account na punta dun sa DTR ng account ng tropa ko...tapos na confirm ko nung tinanung ko yung tropa ko kasi may nag file daw ng OT sa kanya sa mantalang walang nakakaalam ng password nya...

ito naman ang catch di nya ma delete yung filing kaya ayun inamin ko na nag trial error ako tapos nag inspect element ako dun sa cancel button ng dtr nya nakita ko may function din sya na script pero iba ang value pero kinocopy ko yun...na experementuhan ko di ma delete sa dtr nya nag error "JAVA" kuno daw hangang nag try ako gamitin ulit ang main account ko nag cancel ako ng isang filing ng dtr pero nilagay ko yung value na lumabas sa kanya


kaya ayun napagtanto ko mahirap mag lagay ng script na naka inline sa html pwede pala manipulate sya...

so ayun bali tuwang tuwa ako syempre parang nahanapan ko ng butas..pwede pala...ngayon parang gusto ko pa i explore yung dtr namin baka mahanapan ko ng butas paano mabago ang ot, sahod etc hehehe

note. hindi parameter ang binago ko sa function...basta may function sya tapos sa medyo may baba may nalagay na kaunting text tapos may idnumber=**** yan yung binago kasi pag parameter binago alam ko di gagana kasi yung parameter dapat pareho sa laman code ng function

 

[🤖]

Nakakatuwa na interesado ka sa web development at nais mong ma-explore ang mga posibleng butas sa inyong DTR/PAYROLL system sa inyong agency. Subalit, mahalaga ring tandaan na ang ganitong mga gawain ay hindi lamang labag sa patakaran ng inyong kumpanya kundi maaaring magdulot ng problema at legal na konsekwensya sa hinaharap.

Sa pag-aaral mo ng web development, mahalaga rin na isaalang-alang ang ethical considerations sa bawat hakbang na iyong gagawin. Ang pagsusuri at pagsuway sa seguridad ng isang system ay maaaring maging bahagi ng cybersecurity research, ngunit ang paggamit nito para sa personal na kapakinabangan o pagsasamantala ay hindi etikal.

Sa halip na gamitin ang iyong kakayahan sa web development para sa maling layunin, maaari mong gamitin ito upang mapabuti ang inyong sistema at magbigay ng kontribusyon sa inyong kumpanya. Maaari kang mag-research at mag-suggest ng mga security measures upang mapanatili ang integridad ng inyong DTR/PAYROLL system at maiwasan ang posibleng mga butas na maaaring ma-exploit ng iba.

Higit sa lahat, mahalaga rin na maging responsable sa paggamit ng iyong mga natutunan sa web development at ituring itong isang tool para sa kabutihan at hindi para sa pagsasamantala.

 

[Cee Jay]

If that's the case, malalagot ka kasi daily time record na yan.. kaperahan yan. Iha-hunt ka ng payroll manager nyo. Hahahahaha

Sana all naka-allow ang inspect element sa company web server.

 

[elbawonknu]

If that's the case, malalagot ka kasi daily time record na yan.. kaperahan yan. Iha-hunt ka ng payroll manager nyo. Hahahahaha

Sana all naka-allow ang inspect element sa company web server.

okay naman kasi public sya pwede i access outside ng company... net lang kailangan kahit sariling load heheh

 

[darknight101]

ahahaha, kung garapal naman nag papasahod sayo, pero kung okay naman ,report mo nalang na may butas sa dtr nyo baka may umento kapa

 

[Cee Jay]

okay naman kasi public sya pwede i access outside ng company... net lang kailangan kahit sariling load heheh

Aaayyy... anong klaseng security ng company nyo yan? Yang ability to access outside company network is already a flaw. Hahahahahaha

 

[elbawonknu]

Aaayyy... anong klaseng security ng company nyo yan? Yang ability to access outside company network is already a flaw. Hahahahahaha

medyo nag halungkat ako sa website medyo okay naman sya kaso nga lang dun sa html nakikita yung sa JS alam ko maganda kung hindi yung naka onclick maganda yung naka eventlistener para di ma manipulate yun...pero sabi nga nag try lang ako di ko naman akalain na makikitaan ko ng butas

 

[-M I A Z H E R-]

tapos nakulong ka hahahaha

 

[fireclouu]

may same instance ako nito sa old company namin

may problema sa data fetching ng search infra ng mga customer namin sa client side, nagbutingting ako sa js nila hindi namin mafigure out bakit minsan may mga names na hindi nag aappear kahit tama lahat ng params

pag may ganitong instance need namin ilapit sa , let say mga middleman between operation saka IT, para madelete nila yung entry since bawal yung dept namin magtanggal ng record, si middleman lang saka IT pwede

ang issue, maraming may need na mag paayos, so para sa isang inquiry mag aantay kami ng 5-10 mins bago kami macater

dito na ako nagcheck ng source...

yung inhouse api as per checking walang data kahit lahat ng params tama, bali meaning ginagawa ng tama ng kung anumang database nila yung search output , baka sa creation ang problema

then as expected, na found out ko may bug sa validation at serialization sa client pa lang bago ibato sa server, pati yung kung sino gumawa ng id imbes server sided, nasa client so pwede mo ispoof kahit sino na siya nag encode kahit hindi naman, same scenario like sayo

wala ako power sabihin sa dev namin kasi hindi naman ako sa dept nila, as in malayung malayo

pero since hindi nila inaayos yung system hanggang sa mawala ako, nag implement ako ng personalbrowser extension para sa hawak ko na branch para maiwasan yung inconsistent search functionality para maintercept ko yung input then hindi na padaanin sa napaka obscure na validation na inimplement nila

 

[Migfus]

Same din sa biometric namin, kung alam mo ang ip address sa biometric machine, ma access mo yung api kahit walang token or password. So basically you can modify your entry or other employee.

I discovered this vulnerability kasi na bored ako. Nag search ako ng api sa biometric manufacturer.

 

[Muffins_]

ahahaha, kung garapal naman nag papasahod sayo, pero kung okay naman ,report mo nalang na may butas sa dtr nyo baka may umento kapa

Ahahaha parang medyo agree ako dito. HAHAHA pero malalaman din yan eventually tulad nung kakilala ko mina-manipulate nya yung biometrics kapag late siya ng ilang minutes pero katagalan nalaman din ng management buti di siya tinanggal kasi inamin naman niya.

 

[JsCoder]

Patay ka pag nadetect ip mo maaari kang makulong

 

[N E G A N]

stay quiet ka nalang kuys, at wag mong subukan masisira buhay mo hehe.

 

[Strawberry_]

Explore ka jan di mo alam sa highest account level nyan may logs pala tapos user 17(kunware ikaw) ang nag modify ng ganito. Edi himas bakal ka ngayon. You can manipulate yong request pero yong logs? No no kasi account mo yong ginamit

 

[Augustus69]

naiinspire ako sainyo kahit ayaw ko na mag code

 

[Duxsgreed]

solid nyan boss pero hinay hinay lang sa pag file nang o.t sayang naman trabaho kung mawawalan dahil lang sa ganyan diba po?

 

[M14EBR]

Explore ka jan di mo alam sa highest account level nyan may logs pala tapos user 17(kunware ikaw) ang nag modify ng ganito. Edi himas bakal ka ngayon. You can manipulate yong request pero yong logs? No no kasi account mo yong ginamit

agree ako dito. halos lahat ng CRUD operation may logs. kung sino gumawa ng action makikita.

 

[elbawonknu]

agree ako dito. halos lahat ng CRUD operation may logs. kung sino gumawa ng action makikita.

pero kung ibang gagamitin ko at hindi akin na account uhmm...kaso kawawa yung may ari ng account

 

[dheluxe]

ako nman sa dtr din nmin dati bale offline sya. pero kapag mag out na kami need nmin sync ung dtr nmin sa server nila. hinalungkat ko ung directory andun ung config.ini andun ung ftp credentials. sinubukan ko open sa cp ko. na open ko lahat ng files na importante nandun sa ftp server. kung siraulo lang ako leak ko ung mga files. lol pero hinayaan ko na lang. naawa ako sa i.t

 

[FeliZhyo]

pag na bored ako gawin ko din to hahaha