В процессе подготовки к семинару про тестирование защищенности веб-приложений, который состоится в ближайший четверг, решил пройтись по сайтам министерств, федеральных агентств и служб, чтобы посмотреть, как там обстоят дела с защищённостью.
При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них:
- 5 сайтов подвержены пассивному XSS,
- 1 сайт подвержен слепой SQL-инъекции,
- 1 сайт подвержен SQL-инъекции с возможностью внедрения UNION,
- 3 сайта раскрывают некоторые детали внутреннего устройства, из них 2 предоставляют доступ к phpinfo, а 1 выдаёт сообщения об ошибках с отладочной информацией,
- 1 сайт подвержен внедрению команд, это наиболее серьёзная проблема из всех, что мне встретились.
В общем, я бы не сказал, что всё плохо, несмотря на наличие отдельных проблем.
Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств (хотя бы за защищенность, функциональность оставим в стороне)? Или каждый отвечает сам за себя?
P.S. Да, кстати, для интересующихся – в тот же день пройдёт ещё семинар, посвящённый стандартам в области тестирования программного обеспечения.
5 комментариев:
мин. образования и науки.
http://www.mon.gov.ua/ ?query=../../../../../etc/passwd
Гм-гм... не я это написал :)
И вообще, я российские проверял.
И эти правительственные сайты знают уже о своих дырках? По правилам отписывать и сообщать об обнаружении уязвимости отдельного сайта можно после исправления дефекта. Производителю ПО дается 2 рабочие недели с момента получения им информации об уязвимости.
Я надеюсь 5 гос сайтов проверялись 2 недели назад.
1. Можно получить ссылочку на упомянутые правила публикации информации об уязвимостях?
2. Я не раскрываю детали. И не собираюсь этого делать даже после того, как проблемы будут устранены.
3. Что делать, если "производитель" не реагирует? Это, собственно, и было основным вопросом, ради которого я написал эту заметку.
Я несколько раз пытался писать на адреса, указанные на сайтах для обратной связи -- никакой реакции, один раз вообще получил автоответ, что такого адреса не существует.
Стандартная практика для таких сайтов. Там зачастую сидят настоящие "Одмины", которые не нашли себе места в толковых конторах или попали туда по "распределению" махнатой руки.
Отправить комментарий