Websecurity - Веб безпека

10.09.2010

У квітні, 28.04.2010, я знайшов Information Leakage та Insufficient Authorization уразливості на http://kvs.gov.ua - сайті Державного департаменту України з питань виконання покарань. Про що найближчим часом сповіщу адміністрацію сайта.

До речі, цей сайт був неодноразово взломаний в цьому році. Й до сих пір на сайті залишилося чимало сторінок зі “слідами взломів” (адміни так досі сайт і не почистили).

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.04.2011

Information Leakage:

http://kvs.gov.ua/info/ - витік інформації про структуру каталога та підкаталогів

http://kvs.gov.ua/info/news.inc - витік вихідного коду

Insufficient Authorization:

http://kvs.gov.ua/info/admin/press.php

http://kvs.gov.ua/info/admin/news.php

Дані уразливості досі не виправлені (лише відключені функції додавання та видалення даних в цих двох скриптах).

This entry was posted on 15:08 20.04.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.