2021-04-22 14:25:52
Валяюсь под одеялом, и тут мне попадается очередная "переможенька", то госпецсвязь посрамит NATO своим ноучным пуденциалом. Национальная система кибер-безопасности крепнет день ото дня, покоряя все новые и новые глубины. Информационные центры неустанно наращивают процесс ускорения координации, и отдельные кибер-акселераты даже пытаются строить департаменты безопасности за пять тысяч американских денег. Люди, у вас дверь в опе стоит дороже на порядок.
Дай, думаю, посмотрю на всю эту красоту в действии, благо, как говорил персонаж Сапковского: ради таких засранцев можно даже штаны не надевать. Что-нибудь простенькое и понятное всем. site:gov.ua "index of". Державне бюро розслідувань лежит. Не такая уж и уязвимость, потек "секретный" почтовый ящик для анонимок (почему-то на Гугле) и ключ от капчи. Бог с ними. https://archive.is/vUFB4 Дальше попалось более интересная штучка в Чернігівська ОДА. Есть там некий скрипт, а чтобы было удобнее, то рядом лежал script.php.bak
Я не поленюсь, и объясню почему я выделил строчку красным. Почти все современные сайты работают с базами данных. В базе лежат таблицы с авторами, постами, просмотрами, паролями и другими полезными вещами, которые сайт показывает. Но перед этим их нужно из базы запросить. Скрипт посылает запрос на языке SQL, вроде такого:
SELECT * FROM news WHERE id = 1
А id передается через параметр в строке броузера. Добавим туда кавычку, и получаем сообщение:
Query failed: ERROR: unterminated quoted string at or near "': ... where id=1' вот наша кавычка и она поломала запрос. Сервер вывел ошибку. Называется такая ситуация error-based sql injection, и обошлись мировой экономике такие фокусы в миллиарды долларов.
Попробуем, что-нибудь поинтереснее: ?id=1 and 1=cast((select current_database()) as int) и получаем, что-то вроде Query failed: ERROR: invalid input syntax for type integer: "ahuennaya_baza". Давайте немного пофантазируем, что могло бы произойти потом (но не произошло). Примерно через пять минут я мог бы зайти на сервер. Еще через пять у меня были бы права администратора (сервер не обновляли ни разу с 2017 года). Так как там лежат не только сайты, но и почта, то начал бы я с почты системных администраторов, потом головы ОДА и её заместителей. По моим прикидкам, через неделю в Чернигове не осталось бы ни одного целого державного компьютера.
Чтобы такого не происходило в Украине есть мощные кибер-центры, которые стоят на страже и жаждут частно-государственного партнерства: СЦЗК ДКІБ СБУ, ДЦКЗ ДССЗЗІ, CERT-UA, НКЦК РНБО, CSIRT НБУ и ЦКБЗ МОУ (существование последнего я не могу ни подтвердить, ни опровергнуть). В глазах рябит от очень важных аббревиатур. Я не поленился и написал им всем по очереди (кроме НБУ и МОУ, не их зона ответственности и ДЦКЗ, который с публикой общаться категорически не желает, у них дела поважнее, syslog на блокчейне сам себя не изобретет).
И авторам этого говна тоже написал, ими оказалось КП «Інформаційно-аналітичний центр» Чернігівської облради, которое превращает деньги в говно-скрипты уже двадцать три с половиной года. Я сторонник умеренной централизации. Сами по себе державные установы в IT не умеют. Если собрать все в одном месте, как предлагают диевые, то все и рухнет одновременно. А когда все сайты области обслуживает одна контора, то вроде норм. Kostiantyn Korsun ты был поностью прав. КП/ДП такие вещи доверять нельзя. Никогда.
Естественно, что из всех вышеперечисленных и очень ответственных товарищей мне ответил кто? Правильно. Никто. Ни одна живая душа даже не потрудилась мне чиркнуть, что мое письмо получено, а не легло в спам. Тогда я дернул Alexandr Galushchenko из НКЦК. И от изображая из себя грузовой вертолет на холостом ходу, вращая тяжелым бэджем СНБО над головой отправился на борьбу за половую инклюзивность в среде госслужащих. К концу дня кто-то даже оторвал жопу и выключил отображение ошибок. Что превратило скулю из error based в blind. Но там весб сайт написан именно так.
524 viewsedited 11:25
R
