Уразливості на acsk.uss.gov.ua

15:10 26.10.2011

21.02.2011

У січні, 09.01.2011, після знаходження уразливостей на сайтах спецслужб sbu.gov.ua та dsszzi.gov.ua, я знайшов Information Leakage та SQL Injection уразливості на http://acsk.uss.gov.ua - сайті державного підприємства “Українські спеціальні системи” (УСС). Про що найближчим часом сповіщу адміністрацію сайта.

УСС - це ще один державний орган, секюріті напрямку. Підприємство надає послуги електронного цифрового підпису та видає сертифікати.

Детальна інформація про уразливості з’явиться пізніше.

26.10.2011

Information Leakage:

http://acsk.uss.gov.ua:8080

http://acsk.uss.gov.ua:8080/ca/a

Витік інформації про версію та стара версія СУБД.

SQL Injection:

http://acsk.uss.gov.ua:8080/ca/a?a=1

Визов довільних процедур з довільними параметрами.

Дані уразливості вже виправлені (шляхом обмеження доступу до СУБД). Але Basic Authentication вразлива до Brute Force атак.


2 відповідей на “Уразливості на acsk.uss.gov.ua”

  1. Arthur Ismagilov каже:

    Доброго дня!

    Сповістіть будь ласка детальну інформацію про уразливість ресурсу acsk.uss.gov.ua. У разі можливості просимо надіслати інформацію про уразливість на електронну поштову скриньку csk@доменне ім’я.

    З повагою Ісмагілов Артур!
    uss.gov.ua - доменне ім’я.

  2. MustLive каже:

    Артур

    До відправлення листа по цьому сайту я ще ні дійшов. З лютого дуже зайнятий (і з кожним днем все більше). Як знайду час для цього, одразу вишлю детальну інформацію.

    Офіційний емайл на сайті uss.gov.ua я знайшов раніше (бо на acsk.uss.gov.ua не вказаний контактний емайл) і планував направити листа туди. Але раз ви просите, то вишлю листа і на вашу адресу.

    Що з себе представляють українські державні сайти я регулярно пишу в своїх новинах і звітах, зокрема в останньому звіті про взломи державних сайтів України.

Leave a Reply

You must be logged in to post a comment.