Уразливість на сайті Кабінета Міністрів України

21:43 30.12.2006

У жовтні, 13.10.2006, я знайшов Cross-Site Scripting уразливість на урядовому порталі http://www.kmu.gov.ua - сайті Кабінета Міністрів України. Про що найближчим часом сповіщу адміністрацію сайту.

Раніше я вже писав про мій аудит безпеки сайту Верховної Ради України. І тоді результати були невтішні. Ситуація з сайтом Кабміну не краща - також мають місце уразливості (про одну знайдену XSS я і повідомлю адміністраторів сайту).

Детальна інформація про уразливість не з’явиться (не планую публікувати). За для безпеки сайту нашого уряду, його працівників та відвідувачів.


4 відповідей на “Уразливість на сайті Кабінета Міністрів України”

  1. guman каже:

    а його таки поломали :? , хоча написано що сайт непробивний, що ще раз підтверджує “нікода не кажи нікода” ;)

  2. MustLive каже:

    guman, і сайт Кабміна не оминула ця участь. “Тому що надійний” - перефразую я передвиборчий слоган 2004 року. Тому що треба слідкувати за безпекою (і до урядових сайтів це також відноситься) - діри є завжди, їх тільки треба знайти (і обов’язково виправити).

    Про сайт Верховної Ради я вже писав, потім ось про сайт Кабміна, а з часом напишу і про інші урядові сайти в Уанеті.

    Так що ніколи не кажи ніколи :)

    До речі, стосовно цієї фрази. “Никогда не говори никогда” - це один з моїх улюблених фільмів про Джеймса Бонда (хоча він і не відноситься до Бондіади), і це перший фільм про агента 007 який я побачив (і фільм дуже сподобався, найбільше з усіх фільмів про 007).

  3. guman каже:

    козаки, які хакнули сайт, трохи перестаралися, не потрібно було писати ругательства, краще написали нібито молитву від першої особи “… я, Янукович Віктор Федорович, перед усім народом, каюся в усьому що зробив і ще зроблю…”, тоді б це в адміна сайту не викликало б підозри :lol: і можливо месаж залишився на сайті довше ;)

  4. MustLive каже:

    Так, при дефейсі сайту, при найменшій зміні хоча б однієї сторінки (при повній або частковій зміні її змісту) легко привернути увагу адмінів. І за звичай вони швидко реагують і виправляють дефейс (у випадку сайту Кабміну так і було). Взагалі важко не привернути увагу при дефеймі :-) (треба дуже вправно підібрати текст, щоб видати її наприклад за новину), а тим паче на урядовому порталі - там повинні слідкувати за змістом сайту.

    Ну і вибачення Віктора Федоровича - це було би смішно :D , так що варто було спробувати (це популярний у нас жарт). Можеш скачати відому Сповідь Януковича в мене на сайті в розділі Звуки ;-) . А також мікс “Оранжевое небо” (в мене є багато різних приколів).

    До речі, щодо дефейсу сайта Кабміну. В тебе є детальна інформація з цього приводу? Хто, коли і скільки дефейс протримався. А також джерела, де публіковалася інформація про взлом (про це взагалі мало хто пише, власники сайтів в основному не офішують подібною інформацією, і тим паче Кабмін). Дана інформація знадобилась би мені для моїх звітів про хакерську активність в Уанеті.

Leave a Reply

You must be logged in to post a comment.