Comments 44
Извините, не удержался :)
+13
У меня он вообще не открывается, хотя в кэше гугла присутствует.
0
очевидно же он проверяет http, а не https сайты. sokol-online.com/ — проверил нормально.
+5
Это Вы ещё на localhost не ходили к ним ;)
+5
На самом деле пост видели в Почте. Да и ребята из этой сокол-секьрити сильно лукавят
1. Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.
2. Выкладывать в паблик полные запросы на не закрытые уязвимости — это нарушение первой заповеди белого хакинга. Если уж хотели показать что-то, то надо выкладывать было без самих запросов, а только скрины с купюренными ответами.
3. Переодически компании проводят тендеры по аудиту ИТ безопасности, и почтаРФ не исключение. Если уж такие они хорошие — чего б в тендер не сунутся?
1. Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.
2. Выкладывать в паблик полные запросы на не закрытые уязвимости — это нарушение первой заповеди белого хакинга. Если уж хотели показать что-то, то надо выкладывать было без самих запросов, а только скрины с купюренными ответами.
3. Переодически компании проводят тендеры по аудиту ИТ безопасности, и почтаРФ не исключение. Если уж такие они хорошие — чего б в тендер не сунутся?
+14
Да, мне тоже только что сообщили, что Почта это видела, а на ребят уже завели уголовное дело.
По пункту 1: Смысл тогда писать об этом? Я так понял, что там не юр.лицо, а некая группа единомышленников. В общем х/з, конечно.
По пункту 2: Готовых запросов там нет, есть только безобидные запросы.
По пункту 3: Это ж надо ждать. Кроме того, если почта это делает через госзакупки, то это ужасный геморрой для неподготовленного человека.
По пункту 1: Смысл тогда писать об этом? Я так понял, что там не юр.лицо, а некая группа единомышленников. В общем х/з, конечно.
По пункту 2: Готовых запросов там нет, есть только безобидные запросы.
По пункту 3: Это ж надо ждать. Кроме того, если почта это делает через госзакупки, то это ужасный геморрой для неподготовленного человека.
+9
1. На первоначальной версии сайта были реквизиты юр. лица. Сейчас похоже затерли.
2. Есть готовые sql inj запросы. На момент поста в жж — они работали. А уж домыслить что вместо слипа в запрос вставить — не много ума надо.
3. Ну если хотят вести бизнес — то геморрой будет в любом случае.
2. Есть готовые sql inj запросы. На момент поста в жж — они работали. А уж домыслить что вместо слипа в запрос вставить — не много ума надо.
3. Ну если хотят вести бизнес — то геморрой будет в любом случае.
+2
По пункту 1: Смысл тогда писать об этом?Попиариться.
0
А где же продолжение истории?
Что за ребята, точно ли завели дело и т.д.
P.S. На первый взгляд эти «ребята» — обычное школиё, случайно наткнувшееся на SQL Injection
Что за ребята, точно ли завели дело и т.д.
P.S. На первый взгляд эти «ребята» — обычное школиё, случайно наткнувшееся на SQL Injection
+1
Интересно, а какая компания проводит им «аудиты»?
Если про 29 уязвимость это правда. Причем какие то детские уязвимости, то лучше с такой компанией вовсе дел не иметь.
Подозреваю, что это не мастодонты типа PT, а ООО Рога и Копыта под экономику РОЗ.
Если про 29 уязвимость это правда. Причем какие то детские уязвимости, то лучше с такой компанией вовсе дел не иметь.
Подозреваю, что это не мастодонты типа PT, а ООО Рога и Копыта под экономику РОЗ.
0
«Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.»
Про безопасность не могу утверждать, но по техническим вопросам — проблема.
В ОПС мы обнаружили баг с расчетом стоимости посылки, написали письмо — все как полагается. И особо отметили, что операционисты не виноваты — это именно програмный баг. И что вы думаете? Через некоторое время лишили премии операционистов, баг исправили. Вместо виновных пострадали крайние.
Про безопасность не могу утверждать, но по техническим вопросам — проблема.
В ОПС мы обнаружили баг с расчетом стоимости посылки, написали письмо — все как полагается. И особо отметили, что операционисты не виноваты — это именно програмный баг. И что вы думаете? Через некоторое время лишили премии операционистов, баг исправили. Вместо виновных пострадали крайние.
0
Какое это имеет отношение к криптографии (в смысле, зачем оно в этом хабе)?
0
Пожалуй вы правы, убрал. Изначально добавил, потому что речь шла о корневом сертификате.
0
О да, не закрытый индекс директорий апача на сайте компании по ИТ безопасности — это круто. )
Скрин
+28
Это не обязательно не закрытый индекс директорий апача, в ответ на запрос, сервер может выдавать все что угодно. Или же апач тут как риверс прокси. Да и что-то тут закрывать, тут же статичный хтмл, который делал школьник между уроками. Все страницы типа: sokol-online.com/?page=-1# тупо сделаны вручную, ведь у него была задача: «Отвесим столько деревянных сколько будет весить наш сайт».
+3
панель закладок хороша )
-1
спасибо хоть капчу рандомную стали выдавать на трекинге
0
На это убожество, по-моему, даже уголовное дело заводить не надо.
Верстка сайта, например
0
В принципе неудивительно, да и с технической точки зрения никто не застрахован от уязвимости. Хотя возможно, мои выводы основаны на комплексной работе нашей почты.
+1
Что меня тронуло и заставило запостить это на Хабр, так это не факт наличия дырок и не то, что речь о Почте РФ, а то, что эту информацию в Почте РФ, похоже, никто и слышать не хочет.
+2
Как связаться с Соколом? У них нет email'а :(
Хотел бы отрепортить несколько уязвимостей, 2 из них с высоким уровнем риска.
Хотел бы отрепортить несколько уязвимостей, 2 из них с высоким уровнем риска.
0
Уголовное дело это чудесно. Копании с мировым именем привлекают исследователей со всего мира и платят денежные вознаграждения за поиск дыр. А у нас дела заводят.
Что-ж, иностранной кибер разведке это только в радость. Не удивлюсь, что там уже давно копаются «заинтересованные лица» за проксями из Зимбабве.
А потом шалтаи-болтаи «совершенно случайно» находят интересные массивы информации.
Что-ж, иностранной кибер разведке это только в радость. Не удивлюсь, что там уже давно копаются «заинтересованные лица» за проксями из Зимбабве.
А потом шалтаи-болтаи «совершенно случайно» находят интересные массивы информации.
+1
Немудрено, с таким-то related
+13
Да чего там онлайн-инъекции, вот вам оффлайн пример:
Внутренними нормативными документами ПР предусмотрена выдача заказного письма с пометкой «судебное» любому, кто прописан по этому адресу. Что в случае развода супругов например может доставить неплохой геморрой (например неполучение уведомления о судебном заседании).
Ой, в домофон звонят, пойду открою, сейчас вернусь.
Внутренними нормативными документами ПР предусмотрена выдача заказного письма с пометкой «судебное» любому, кто прописан по этому адресу. Что в случае развода супругов например может доставить неплохой геморрой (например неполучение уведомления о судебном заседании).
Ой, в домофон звонят, пойду открою, сейчас вернусь.
0
А вам давно последний раз почтальон вручал заказные письма? Мне всегда оставляют только уведомление, а письмо я получаю в отделении с предъявлением паспорта.
Касательно, внутренних инструкций — какое это отношение имеет к законам?
Касательно, внутренних инструкций — какое это отношение имеет к законам?
0
Да ладно, мои иностранные посылки соседям с других улиц относят и выдают, несмотря на несоответствие данных на почтовом лейбле и в паспорте.
0
Sign up to leave a comment.
Почта РФ кишит уязвимостями