Уразливості на acsk.uss.gov.ua
15:10 26.10.201121.02.2011
У січні, 09.01.2011, після знаходження уразливостей на сайтах спецслужб sbu.gov.ua та dsszzi.gov.ua, я знайшов Information Leakage та SQL Injection уразливості на http://acsk.uss.gov.ua - сайті державного підприємства “Українські спеціальні системи” (УСС). Про що найближчим часом сповіщу адміністрацію сайта.
УСС - це ще один державний орган, секюріті напрямку. Підприємство надає послуги електронного цифрового підпису та видає сертифікати.
Детальна інформація про уразливості з’явиться пізніше.
26.10.2011
Information Leakage:
http://acsk.uss.gov.ua:8080
http://acsk.uss.gov.ua:8080/ca/a
Витік інформації про версію та стара версія СУБД.
SQL Injection:
http://acsk.uss.gov.ua:8080/ca/a?a=1
Визов довільних процедур з довільними параметрами.
Дані уразливості вже виправлені (шляхом обмеження доступу до СУБД). Але Basic Authentication вразлива до Brute Force атак.
Неділя, 12:59 17.04.2011
Доброго дня!
Сповістіть будь ласка детальну інформацію про уразливість ресурсу acsk.uss.gov.ua. У разі можливості просимо надіслати інформацію про уразливість на електронну поштову скриньку csk@доменне ім’я.
З повагою Ісмагілов Артур!
uss.gov.ua - доменне ім’я.
Понеділок, 21:51 18.04.2011
Артур
До відправлення листа по цьому сайту я ще ні дійшов. З лютого дуже зайнятий (і з кожним днем все більше). Як знайду час для цього, одразу вишлю детальну інформацію.
Офіційний емайл на сайті uss.gov.ua я знайшов раніше (бо на acsk.uss.gov.ua не вказаний контактний емайл) і планував направити листа туди. Але раз ви просите, то вишлю листа і на вашу адресу.
Що з себе представляють українські державні сайти я регулярно пишу в своїх новинах і звітах, зокрема в останньому звіті про взломи державних сайтів України.