Недавно меня попросили решить проблему целостности данных с помощью приложения базы данных Filemaker, которое было опубликовано в Интернете.
Это приложение собирает данные о соискателях через серию просмотров. Были сообщения от нескольких пользователей, что во время их работы с приложением они увидели бы данные другого кандидата, проходя через приложение. Похоже, что все эти пользователи превысили порог тайм-аута сеанса, а затем были обнаружены чужие данные в форме.
Я смотрю на файл cookie JSESSIONID, который генерируется, поскольку это единственная ссылка, которую я вижу между сеансом браузера и приложением. Срок действия файла cookie JSESSIONID истекает в прошлом, и он имеет тип «сеанс»
Значения JSESSIONID также кажутся невероятно похожими; Вот два JSESSIONIDS, которые я получил при тестировании приложения:
02442D0AA37DEF0512674E8C
02442D09A38288D712674E8E
Кто-нибудь испытывал подобную проблему с приложениями Filemaker, опубликованными в Интернете?
Есть ли еще место, на которое мне нужно обратить внимание, кроме того, как связаны JSESSIONID и Filemaker 11? Другими словами, существуют ли другие известные уязвимости безопасности в движке Filemaker Web Publishing, о которых кто-либо знает?
С благодарностью,
Slinky66