Scouting heeft een eigen webapplicatie om ledengegevens te beheren, ScoutsOnline. Hier heb ik enkele veiligheidslekken in gevonden, die hieronder staan vermeld. Vrijwel alle lekken zijn inmiddels opgelost, en al deze lekken zijn minstens een maand geleden gemeld bij Team Internet van Scouting Nederland.

Label op te vragen van alle leden

December 2011

Een tekstbestand met naam, adres, woonplaats is van elk Scouting lid op te vragen met de volgende URL: https://sol.scouting.nl/ma/person/600486953?perform=label.

Hiervoor hoef je niet ingelogd te zijn, en het is niet beperkt tot leden binnen je eigen organisatie. Volgens mij is dit een bug, omdat je (beperkte) persoonsinformatie terug krijgt terwijl je niet ingelogd bent.

Bankrekening van andere leden te zien en te wijzigen

Februari 2012

Het lijkt er op dat het mogelijk is om bankgegevens van alle leden te bekijken, door een link te veranderen. Na "Mijn gegevens", "bankrekeningen", klikken op een rekening kom ik op deze link: https://sol.scouting.nl/fs/person/116901433/bankaccount/987

Hierin is 11601433 mijn lidnummer, en het nummer 987 verschilt per bankrekening. Als ik nu 987 in iets anders verander zie ik iemand anders bankrekening, naam en adres. Volgens mij zou dit niet moeten kunnen.

Profieldata te zien op testomgeving

Februari 2012

Op de testomgeving zie ik dat de competenties onder "Profiel" overeen komen met mijn gegevens op productie. Deze zijn dus niet vervangen door testdata. Daarnaast kan ik het profiel bekijken van andere leden uit mijn trainingsteam. Dit betekent dus dat ik op de testomgeving het "echte" profiel van andere mensen kan bekijken, wat niet zou moeten kunnen.

Bestanden op te vragen met "static" actie

Februari 2012

Als je aan de "static" action een bestandsnaam meegeeft is deze in veel gevallen op te vragen. Volgens mij is dit niet de bedoeling. Bijvoorbeeld: https://test1.scouting.nl/index.php?task=rs_static&action=static&path=../../../etc/config.ini

Mogelijk om profielen van anderen te zien

April 2012

Op de volgende manier is het mogelijk om een profiel van iemand anders te bekijken:

1. Ga naar https://sol.scouting.nl/images/lms_map_image.php?maps[0]=6761, wat het plaatje is op de profielpagina.
2. Verander het nummer aan het einde van de URL.
3. Je ziet nu de profielinformatie van iemand anders.

Het is ook mogelijk om te achterhalen van wie deze profielinformatie is:

1. Ga naar je eigen profiel.
2. In het competentieformulier, verander het hidden field map_id naar het ID waar je de afbeelding van hebt (hierboven 6761).
3. Klik op "Wijzigingen opslaan"
4. Je krijgt nu een foutmelding, maar bovenaan staan wel de gegevens van iemand anders.

Geboortedatum wordt niet gecontroleerd bij aanmaken account

April 2012

Als je een account probeert aan te maken terwijl je er een hebt, krijg je hiervan een melding, met daarin het e-mail adres wat je gebruikt hebt voor je account. Voor deze melding is alleen het lidnummer nodig, dus dit kan gebruikt worden om voor elk lidnummer het e-mailadres op te vragen.

1. Ga naar "Inlog account aanvragen" (signupStep1)
2. Klik op "Volgende"
3. Vul nu een lidnummer in en vul de geboortedatum niet in. Klik op "Volgende".
4. Je krijgt nu het e-mail adres wat bij het lid hoort, ook al heb je de geboortedatum niet goed ingevuld.

Volgens mij hoort hij dit alleen te geven als de geboortedatum ook klopt.

Mogelijk om schepen van andere groepen te bekijken en te wijzigen

April 2012, mantis issue 16894

Door het ID achter de URL van de scheepsinformatiepagina te veranderen kan je schepen van andere groepen bekijken en aanpassen.

1. Ga naar https://sol.scouting.nl/index.php?task=ma_ship&action=edit&button=&shp_id=2201
2. Wijzig het nummer achter de URL.
3. Je ziet nu een schip van iemand anders

Persoonsgegevens in formulier worden niet verwijderd in testomgeving

Juni 2012, mantis issue 17159

Bij sommige formulieren wordt gevraagd om persoonsgegevens in te vullen, zoals e-mailadres, telefoonnummer, bankrekeningnummer. Deze zijn ook op de test1-omgeving in te kijken. Omdat iedereen zichzelf kan promoveren tot gegevensbeheerder op test1, zou deze informatie gewist of veranderd moeten worden, net als alle andere persoonsgegevens.

1. Als gegevensbeheerder van Scouting Nederland, ga naar: https://test1.scouting.nl/index.php?task=as_part&action=view&button=btn_part_form&prt_id=71326
2. Je ziet hier gegevens van Sofie Tijssen.

Lid kan zijn eigen VOG wijzigen

Juni 2012, mantis issue 17199

Als je niet de rechten hebt om een VOG aan een lid toe te kennen of om een bestaande VOG te wijzigen, krijg je geen formulier te zien in het VOG tabje. Als je dit formulier echter zelf neer zet en submit, wordt de VOG wel toegevoegd/gewijzigd.

1. Op test2, log in als gegevensbeheerder, ga naar het VOG tabje en kopieer de HTML van het formulier.
2. Op test2, log nu in als jeugdlid, ga naar het VOG tabje en plak de HTML van het formulier.
3. Submit het formulier.
4. De VOG is nu gewijzigd, terwijl het lid daar helemaal geen rechten toe heeft.