Уразливості на zpd.gov.ua

17:21 23.01.2013

21.07.2012

Сьогодні я знайшов Cross-Site Scripting уразливості на http://zpd.gov.ua - сайті Державної служби України з питань захисту персональних даних. Про що найближчим часом сповіщу адміністрацію сайта.

Сайт використовує Megapolis.Portal Manager, в якому я виявив багато уразливостей (з 2006 по 2012 рік я знайшов чимало дірок в цьому движку). Тому й на ньому також є дірки подібно до сайтів Кабміну, Парламенту та іншим державним сайтам.

І це сайт тієї служби, що захищає персональні дані українців. Риторичне запитання: раз ця служба штрафує за недотримання закону про захист персональних даних, то чи оштрафує вона сама себе, якщо через дірки на їхньому сайті станеться витік персональних даних.

Детальна інформація про уразливості з’явиться пізніше.

23.01.2013

XSS:

Дані уразливості досі не виправлені. Якщо ця служба не може убезпечити власний сайт, то навряд чи вона зможе убезпечити персональні дані громадян України.


2 відповідей на “Уразливості на zpd.gov.ua”

  1. Dementor каже:

    А ще там в httpd є Remote DoS :)

  2. MustLive каже:

    Так, звісно і це є - коли заходив на сайт, я звернув увагу на стару версію httpd. Але таких сайтів мільйони - з веб серверами вразливими до тих чи інших Remote DoS уразливостей. І серед українських сайтів, в тому числі й gov.ua, таких багато.

    З іншої сторони я знаходив DoS і в Megapolis.Portal Manager. А в версії Tomcat, що вони використовують, є багато інших дірок. Якщо зробити пошук по “Tomcat” в мене на сайті, то окрім DoS, можна знайти Information disclosure, Authentication bypass та багато інших дірок. І чимало з них відносяться до версії Tomcat на zpd.gov.ua :-) , так що дірок у веб сервері у них вистачає.

    Про такі дірки в серверному ПЗ сайтів я не пишу в новинах, тільки про дірки у веб додатках. А ось про дірки у веб серверах та іншому серверному ПЗ я пишу у звітах під час аудитів і пентестів.

Leave a Reply

You must be logged in to post a comment.