Уразливості на www.szru.gov.ua
20:22 10.04.200923.09.2007
Ще раз продовжу тему уразливостей на сайтах українських спецслужб. Після вчорашніх уразливостей на www.sbu.gov.ua (СБУ), перейдемо до сайта Служби Зовнішньої Розвідки України (СЗРУ).
В січні, 08.01.2007 (а також додатково сьогодні), я знайшов Cross-Site Scripting уразливості на http://www.szru.gov.ua - сайті Служби Зовнішньої Розвідки України. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше.
10.04.2009
XSS:
Дані уразливості вже виправлені. Причому виправили вони їх доволі швидко.
Але 30.09.2007 я знайшов на сайті СЗРУ ще 4 нові уразливості - 2 XSS та 2 SQL Injection, про які також повідомив адміна сайта спецслужби. І якщо обидві XSS дірки були виправлені, то з двох SQL ін’єкцій була виправлена лише одна. Інша SQL Injection не була виправлена і вона працює й досі.
Враховуючи, що працівники СЗРУ наполегливо не хотіли прибирати цю дірку, я в 2008 році написав про неї СБУ, щоб ті поговорили зі своїми колегами з СЗРУ і переконали їх виправити дірку. Але СБУ проігнорували мій лист, так само як і випадку дірок на їхньому сайті, і дана дірка на www.szru.gov.ua працює й досі. Єдине, що рятує СЗРУ від взлому їхнього сайта, це те, що в них на сайті використовується MySQL 3.23.58 . Але небезпека DoS атак на сайт (через SQL Injection) залишається.