Уразливості на kmr.gov.ua
19:22 06.08.200719.03.2007
Стосовно сайтів державних установ раніше я писав про уразливість на kmv.gov.ua - сайті Київської Мiської Державної Адмiнiстрацiї. Зараз настала черга сайта ще однієї державної установи Києва.
У листопаді, 27.11.2006, я знайшов Cross-Site Scripting уразливості на http://kmr.gov.ua - сайті Київської Мiської Ради. Про що найближчим часом сповіщу адміністрацію сайта.
Проблеми з безпекою на державних сайтах - це звичне явище в Уанеті, як показує мій досвід. Державним установам варто більше слідкувати за безпекою своїх сайтів.
Детальна інформація про уразливості з’явиться пізніше.
06.08.2007
XSS:
http://kmr.gov.ua
http://mail.kmr.gov.ua
Дані уразливості досі не виправлені. Що дуже не серйозно для Київської Мiської Ради.
Вівторок, 00:26 20.03.2007
MustLive, а буває так що вдячні герої блогу на Вас капають вашому інтернетному чи хостинг провайдеру?
Вівторок, 17:25 20.03.2007
Сашко, таких випадків не було.
І подібна позиція є некоректною, бо люди, яким я повідомляю про уразливості на їх сайтах, повинні бути як мінімум мені вдячні. І здебільшого люди мені дякують. Звісно трапляються невиховані люди, що забувають подякувати, і навіть трапляються ті, хто намагається нагрубити і звинуватити в своїх проблемах (як свідчить досвід, нажаль, більша частина з подібних випадків - це українці). Але в цілому мені зустрічаються виховані та вдячні люди.
Стосовно тематики вашого запитання. то я зверну вашу увагу, а також всіх тих, хто намагається мене в чомусь звинуватити і підставити під сумнів мою дільність.
Вся моя робота знаходиться виключно в межах українського законодавства і кримінально кодексу. Заяви тих, хто намагається поставити під сумнів законність моєї діяльності, є безпідставними і за наявність уразливостей на своїх сайтах повністю несуть відповідальність власники та розробники цих сайтів. Я в свою чергу працюю виключно в правовому полі.
Тому будь-які сумніви безпідставні й власники сайтів, яким я повідомляю про уразливості, повинні бути як мінімум мені вдячні.
Середа, 00:58 21.03.2007
MustLive, нічого особистого і ніякого відношення до сайту кабінету міністрів не маю, вчуся у Вас просто, пробую всякі речі і боюся ))
Середа, 18:31 21.03.2007
Сашко, до вас теж нічого особистого , лише комплексно відповів на запитання. Торкнувшись правової сторони питання, яка хоча й не піднімалася в вашому запитанні, але має до нього відношення.
Просто регулярно мені задають подібні запитання (стосовно правової сторони моєї діяльності) - по емайлу декілька разів і ось ви в коментах теж торкнулися цієї теми, тому я вірішив ще й на сайті на це питання відповісти. Бо окрім того, що люди цікавляться цим питанням, також мені трапляются іноді люди, про що і писав, які замість подяки за допомогу в підвищенні безпеки їхнього веб сайту, починають мене звинувачувати в своїх проблемах. Бували випадки, коли так чи інакше погрожували “санкціями” (у випадку, коли в них були сумніви в законності моїх дій, які я завжди намагаюся розвіяти). І був один випадок, коли погрожували (безпідставно) поскаржитися до мого інтернет провайдера. Але після мого роз’ясненя невірності їхньої позиції, вже не робили подібних заяв і надалі писали лише подяки.
До речі, в цьому анонсі йдеться не про сайт Кабміна, а Київської Мiської Ради (в домені лише одна літера відрізняється). Про уразливість на сайті Кабінета Міністрів України я писав окремо.
Ну а боятися не треба, просто треба вивчати законодавство і кримінальний кодекс, і намагатися діяти вюключно в прававому полі. І коли пробуєте всякі речі, то варто перед цим замислюватися над їх законністю і правовими наслідками . Хоча у нас законодавство і не дуже розвинуте в області ІТ, але цей процес триває і в кодексі наявні відповідні статті. З якими варто ознайомитися (в кримінальному кодексі від 2001 року та з подальшими доповненням до цих статей).