Уразливість на сайті Кабінета Міністрів України
21:43 30.12.2006У жовтні, 13.10.2006, я знайшов Cross-Site Scripting уразливість на урядовому порталі http://www.kmu.gov.ua - сайті Кабінета Міністрів України. Про що найближчим часом сповіщу адміністрацію сайту.
Раніше я вже писав про мій аудит безпеки сайту Верховної Ради України. І тоді результати були невтішні. Ситуація з сайтом Кабміну не краща - також мають місце уразливості (про одну знайдену XSS я і повідомлю адміністраторів сайту).
Детальна інформація про уразливість не з’явиться (не планую публікувати). За для безпеки сайту нашого уряду, його працівників та відвідувачів.
Субота, 11:29 06.01.2007
а його таки поломали , хоча написано що сайт непробивний, що ще раз підтверджує “нікода не кажи нікода”
Неділя, 00:31 07.01.2007
guman, і сайт Кабміна не оминула ця участь. “Тому що надійний” - перефразую я передвиборчий слоган 2004 року. Тому що треба слідкувати за безпекою (і до урядових сайтів це також відноситься) - діри є завжди, їх тільки треба знайти (і обов’язково виправити).
Про сайт Верховної Ради я вже писав, потім ось про сайт Кабміна, а з часом напишу і про інші урядові сайти в Уанеті.
Так що ніколи не кажи ніколи
До речі, стосовно цієї фрази. “Никогда не говори никогда” - це один з моїх улюблених фільмів про Джеймса Бонда (хоча він і не відноситься до Бондіади), і це перший фільм про агента 007 який я побачив (і фільм дуже сподобався, найбільше з усіх фільмів про 007).
Неділя, 11:33 07.01.2007
козаки, які хакнули сайт, трохи перестаралися, не потрібно було писати ругательства, краще написали нібито молитву від першої особи “… я, Янукович Віктор Федорович, перед усім народом, каюся в усьому що зробив і ще зроблю…”, тоді б це в адміна сайту не викликало б підозри і можливо месаж залишився на сайті довше
Неділя, 15:52 07.01.2007
Так, при дефейсі сайту, при найменшій зміні хоча б однієї сторінки (при повній або частковій зміні її змісту) легко привернути увагу адмінів. І за звичай вони швидко реагують і виправляють дефейс (у випадку сайту Кабміну так і було). Взагалі важко не привернути увагу при дефеймі (треба дуже вправно підібрати текст, щоб видати її наприклад за новину), а тим паче на урядовому порталі - там повинні слідкувати за змістом сайту.
Ну і вибачення Віктора Федоровича - це було би смішно , так що варто було спробувати (це популярний у нас жарт). Можеш скачати відому Сповідь Януковича в мене на сайті в розділі Звуки . А також мікс “Оранжевое небо” (в мене є багато різних приколів).
До речі, щодо дефейсу сайта Кабміну. В тебе є детальна інформація з цього приводу? Хто, коли і скільки дефейс протримався. А також джерела, де публіковалася інформація про взлом (про це взагалі мало хто пише, власники сайтів в основному не офішують подібною інформацією, і тим паче Кабмін). Дана інформація знадобилась би мені для моїх звітів про хакерську активність в Уанеті.