Коментарі для запису: Хостінги державних сайтів http://websecurity.com.ua/5983/ Tue, 10 Mar 2026 19:06:40 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/5983/#comment-454069 Fri, 14 Sep 2012 20:56:32 +0000 http://websecurity.com.ua/5983/#comment-454069 <blockquote>Я взагалі дивуюся …</blockquote> Так, ця ситуація дуже дивна - і вона триває багато років. І на протязі всієї роботи мого веб проекту я намагаюся привертати до цього увагу. Якщо про дірки на держсайтах я писав багато, то з минулого року мене почала турбувати ще й проблема розміщення таких сайтів закордоном, тому й вирішив про це написати. Відповідаю на риторичні запитання. Роблять ламєра. В переважній більшості не тестують на уразливості. Коли повідомляєш про дірки, то часто ігнорують і не виправляють - бо також ламєра. От тож бо, що не повинно такого бути, щоб державні сайти хостилися закордоном. Але це має місце - таких випадків десятки (крім вищенаведених сайтів, цього року я знайшов ще багато інших). Спеціального немає - кожен сайт хоститься де може (по своєму бюджету). Є хостінги де розміщені цілі групи gov.ua-сайтів, в тому числі я писав про багато взломаних серверів таких хостерів :-). <blockquote>Зустрічав, зустрічав! В основному сайти острівних держав.</blockquote> Саме так - острівних держав, а також сайт президента Грузії переїзджав в 2008 році на американський хостінг (для захисту від DDoS атак). І порівняй таку країну як Україна з маленькими острівними державами. Це ганьба для цих gov.ua-сайтів, що таким чином кидають тінь на державу. Бо окрім ризиків безпеки, про які я писав вище, це також і удар по престижу країни в галузі ІТ.

Я взагалі дивуюся …

Так, ця ситуація дуже дивна - і вона триває багато років. І на протязі всієї роботи мого веб проекту я намагаюся привертати до цього увагу. Якщо про дірки на держсайтах я писав багато, то з минулого року мене почала турбувати ще й проблема розміщення таких сайтів закордоном, тому й вирішив про це написати.

Відповідаю на риторичні запитання. Роблять ламєра. В переважній більшості не тестують на уразливості. Коли повідомляєш про дірки, то часто ігнорують і не виправляють - бо також ламєра. От тож бо, що не повинно такого бути, щоб державні сайти хостилися закордоном. Але це має місце - таких випадків десятки (крім вищенаведених сайтів, цього року я знайшов ще багато інших). Спеціального немає - кожен сайт хоститься де може (по своєму бюджету). Є хостінги де розміщені цілі групи gov.ua-сайтів, в тому числі я писав про багато взломаних серверів таких хостерів :-) .

Зустрічав, зустрічав! В основному сайти острівних держав.

Саме так - острівних держав, а також сайт президента Грузії переїзджав в 2008 році на американський хостінг (для захисту від DDoS атак). І порівняй таку країну як Україна з маленькими острівними державами. Це ганьба для цих gov.ua-сайтів, що таким чином кидають тінь на державу. Бо окрім ризиків безпеки, про які я писав вище, це також і удар по престижу країни в галузі ІТ.

]]> від: MustLive http://websecurity.com.ua/5983/#comment-454067 Fri, 14 Sep 2012 20:50:18 +0000 http://websecurity.com.ua/5983/#comment-454067 <strong>sb</strong>, нарешті знайшов час для відповіді :-). Дорки - це відомий і потужний метод. В тому числі мені відомі всі наведені тобою варіанти і про деякі з них я вже писав на сайті (в добірках дорків для пошуку уразливостей). Але до чого тут вони в записі стосовно хостінгів державних сайтів? Я ж писав про те, що чимало українських державних сайтів хостяться закордоном. <blockquote>Результатів значно більше, ніж в цьому блозі.</blockquote> Звісно цими дорками можна шукати діряві сайти, в тому числі й витоки логінів і паролів. Але це не відноситься до теми даного запису ;-). І я достатньо писав про дірки на gov.ua сайтах та й дорків наводив багато (по українським сайтам і по всьому Інтернету), що дозволяли знаходити мільйони дірявих сайтів. sb, нарешті знайшов час для відповіді :-) .

Дорки - це відомий і потужний метод. В тому числі мені відомі всі наведені тобою варіанти і про деякі з них я вже писав на сайті (в добірках дорків для пошуку уразливостей). Але до чого тут вони в записі стосовно хостінгів державних сайтів? Я ж писав про те, що чимало українських державних сайтів хостяться закордоном.

Результатів значно більше, ніж в цьому блозі.

Звісно цими дорками можна шукати діряві сайти, в тому числі й витоки логінів і паролів. Але це не відноситься до теми даного запису ;-) . І я достатньо писав про дірки на gov.ua сайтах та й дорків наводив багато (по українським сайтам і по всьому Інтернету), що дозволяли знаходити мільйони дірявих сайтів.

]]> від: sb http://websecurity.com.ua/5983/#comment-448892 Tue, 14 Aug 2012 22:32:54 +0000 http://websecurity.com.ua/5983/#comment-448892 > Додам, що я не знаю жодної країни, де б державні сайти розміщувалися за кордоном - а в Україні таких сайтів багато. Зустрічав, зустрічав! В основному сайти острівних держав. А як вам цей дорк: site:gov.ua porno :roll: Це дуже один з найкращих дорків, для виявлення похеканих сайтів. > Додам, що я не знаю жодної країни, де б державні сайти розміщувалися за кордоном - а в Україні таких сайтів багато.
Зустрічав, зустрічав! В основному сайти острівних держав.

А як вам цей дорк: site:gov.ua porno
:roll:
Це дуже один з найкращих дорків, для виявлення похеканих сайтів.

]]> від: sb http://websecurity.com.ua/5983/#comment-448886 Tue, 14 Aug 2012 22:14:34 +0000 http://websecurity.com.ua/5983/#comment-448886 Я взагалі дивуюся ... Хто робить ці сайти? Чому не тестують? Чому не виправляють? І головне, як таке може бути, щоб державні сайти хости за кордоном? Чому немає державного оператора для цього? Я взагалі дивуюся …
Хто робить ці сайти? Чому не тестують? Чому не виправляють?
І головне, як таке може бути, щоб державні сайти хости за кордоном? Чому немає державного оператора для цього?

]]> від: sb http://websecurity.com.ua/5983/#comment-448885 Tue, 14 Aug 2012 22:10:50 +0000 http://websecurity.com.ua/5983/#comment-448885 Перше, що прийшло в голову - дорки: site:gov.ua filetype:sql site:gov.ua e10adc3949ba59abbe56e057f20f883e (підставити розповсюджені хеши) site:gov.ua warning execute site:gov.ua warning include і так далі Результатів значно більше, ніж в цьому блозі. :mrgreen: Перше, що прийшло в голову - дорки:
site:gov.ua filetype:sql
site:gov.ua e10adc3949ba59abbe56e057f20f883e (підставити розповсюджені хеши)
site:gov.ua warning execute
site:gov.ua warning include
і так далі

Результатів значно більше, ніж в цьому блозі.

:mrgreen:

]]>