Уразливості на kvs.gov.ua
15:08 20.04.201110.09.2010
У квітні, 28.04.2010, я знайшов Information Leakage та Insufficient Authorization уразливості на http://kvs.gov.ua - сайті Державного департаменту України з питань виконання покарань. Про що найближчим часом сповіщу адміністрацію сайта.
До речі, цей сайт був неодноразово взломаний в цьому році. Й до сих пір на сайті залишилося чимало сторінок зі “слідами взломів” (адміни так досі сайт і не почистили).
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
20.04.2011
Information Leakage:
http://kvs.gov.ua/info/ - витік інформації про структуру каталога та підкаталогів
http://kvs.gov.ua/info/news.inc - витік вихідного коду
Insufficient Authorization:
http://kvs.gov.ua/info/admin/press.php
http://kvs.gov.ua/info/admin/news.php
Дані уразливості досі не виправлені (лише відключені функції додавання та видалення даних в цих двох скриптах).