понедельник, августа 03, 2009

Защищенность правительственных сайтов

В процессе подготовки к семинару про тестирование защищенности веб-приложений, который состоится в ближайший четверг, решил пройтись по сайтам министерств, федеральных агентств и служб, чтобы посмотреть, как там обстоят дела с защищённостью.

При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них:

  • 5 сайтов подвержены пассивному XSS,
  • 1 сайт подвержен слепой SQL-инъекции,
  • 1 сайт подвержен SQL-инъекции с возможностью внедрения UNION,
  • 3 сайта раскрывают некоторые детали внутреннего устройства, из них 2 предоставляют доступ к phpinfo, а 1 выдаёт сообщения об ошибках с отладочной информацией,
  • 1 сайт подвержен внедрению команд, это наиболее серьёзная проблема из всех, что мне встретились.

В общем, я бы не сказал, что всё плохо, несмотря на наличие отдельных проблем.

Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств (хотя бы за защищенность, функциональность оставим в стороне)? Или каждый отвечает сам за себя?

P.S. Да, кстати, для интересующихся – в тот же день пройдёт ещё семинар, посвящённый стандартам в области тестирования программного обеспечения.

5 комментариев:

Анонимный комментирует...

мин. образования и науки.
http://www.mon.gov.ua/ ?query=../../../../../etc/passwd

Unknown комментирует...

Гм-гм... не я это написал :)
И вообще, я российские проверял.

Анонимный комментирует...

И эти правительственные сайты знают уже о своих дырках? По правилам отписывать и сообщать об обнаружении уязвимости отдельного сайта можно после исправления дефекта. Производителю ПО дается 2 рабочие недели с момента получения им информации об уязвимости.

Я надеюсь 5 гос сайтов проверялись 2 недели назад.

Unknown комментирует...

1. Можно получить ссылочку на упомянутые правила публикации информации об уязвимостях?

2. Я не раскрываю детали. И не собираюсь этого делать даже после того, как проблемы будут устранены.

3. Что делать, если "производитель" не реагирует? Это, собственно, и было основным вопросом, ради которого я написал эту заметку.

Я несколько раз пытался писать на адреса, указанные на сайтах для обратной связи -- никакой реакции, один раз вообще получил автоответ, что такого адреса не существует.

Анонимный комментирует...

Стандартная практика для таких сайтов. Там зачастую сидят настоящие "Одмины", которые не нашли себе места в толковых конторах или попали туда по "распределению" махнатой руки.