Estoy siguiendo una clase en línea de una institución local. Recientemente, he notado que no tienen contraseñas de hash porque me enviaron mi contraseña por correo electrónico en texto sin cifrar.
El sitio web tiene mucha información personal, por lo que he decidido probar qué tan seguro es.
Después de unos minutos de probar el sistema de mensajes privados, descubrí que puede ver, eliminar y responder a cualquier mensaje con cualquier nombre de usuario. Además, enviaron un mensaje a todos con su contraseña recientemente para que pueda ver la contraseña de todos. Los ataques XSS también son posibles.
He reportado las vulnerabilidades y aún no se ha revisado (solo ha pasado una semana, pero si fuera responsable de un sistema como este, no dormiría hasta que todo esté arreglado).
¿Cómo puedo hacer que aseguren su sitio web correctamente? Mi propia información personal también está en riesgo aquí.
(Para asegurarme de que no haya más respuestas relacionadas con eso, soy muy consciente de las leyes. No cambia el hecho de que algún día, alguien hará exactamente lo que hice pero con malas intenciones). / p>