Уразливості на www.szru.gov.ua

20:22 10.04.2009

23.09.2007

Ще раз продовжу тему уразливостей на сайтах українських спецслужб. Після вчорашніх уразливостей на www.sbu.gov.ua (СБУ), перейдемо до сайта Служби Зовнішньої Розвідки України (СЗРУ).

В січні, 08.01.2007 (а також додатково сьогодні), я знайшов Cross-Site Scripting уразливості на http://www.szru.gov.ua - сайті Служби Зовнішньої Розвідки України. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

10.04.2009

XSS:

Дані уразливості вже виправлені. Причому виправили вони їх доволі швидко.

Але 30.09.2007 я знайшов на сайті СЗРУ ще 4 нові уразливості - 2 XSS та 2 SQL Injection, про які також повідомив адміна сайта спецслужби. І якщо обидві XSS дірки були виправлені, то з двох SQL ін’єкцій була виправлена лише одна. Інша SQL Injection не була виправлена і вона працює й досі.

Враховуючи, що працівники СЗРУ наполегливо не хотіли прибирати цю дірку, я в 2008 році написав про неї СБУ, щоб ті поговорили зі своїми колегами з СЗРУ і переконали їх виправити дірку. Але СБУ проігнорували мій лист, так само як і випадку дірок на їхньому сайті, і дана дірка на www.szru.gov.ua працює й досі. Єдине, що рятує СЗРУ від взлому їхнього сайта, це те, що в них на сайті використовується MySQL 3.23.58 :-) . Але небезпека DoS атак на сайт (через SQL Injection) залишається.


Leave a Reply

You must be logged in to post a comment.