Pull to refresh

Comments 44

У меня он вообще не открывается, хотя в кэше гугла присутствует.
очевидно же он проверяет http, а не https сайты. sokol-online.com/ — проверил нормально.
Это Вы ещё на localhost не ходили к ним ;)
На самом деле пост видели в Почте. Да и ребята из этой сокол-секьрити сильно лукавят
1. Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.
2. Выкладывать в паблик полные запросы на не закрытые уязвимости — это нарушение первой заповеди белого хакинга. Если уж хотели показать что-то, то надо выкладывать было без самих запросов, а только скрины с купюренными ответами.
3. Переодически компании проводят тендеры по аудиту ИТ безопасности, и почтаРФ не исключение. Если уж такие они хорошие — чего б в тендер не сунутся?
Да, мне тоже только что сообщили, что Почта это видела, а на ребят уже завели уголовное дело.

По пункту 1: Смысл тогда писать об этом? Я так понял, что там не юр.лицо, а некая группа единомышленников. В общем х/з, конечно.

По пункту 2: Готовых запросов там нет, есть только безобидные запросы.

По пункту 3: Это ж надо ждать. Кроме того, если почта это делает через госзакупки, то это ужасный геморрой для неподготовленного человека.

1. На первоначальной версии сайта были реквизиты юр. лица. Сейчас похоже затерли.
2. Есть готовые sql inj запросы. На момент поста в жж — они работали. А уж домыслить что вместо слипа в запрос вставить — не много ума надо.
3. Ну если хотят вести бизнес — то геморрой будет в любом случае.
По пункту 1: Смысл тогда писать об этом?
Попиариться.
А где же продолжение истории?
Что за ребята, точно ли завели дело и т.д.

P.S. На первый взгляд эти «ребята» — обычное школиё, случайно наткнувшееся на SQL Injection
Интересно, а какая компания проводит им «аудиты»?
Если про 29 уязвимость это правда. Причем какие то детские уязвимости, то лучше с такой компанией вовсе дел не иметь.

Подозреваю, что это не мастодонты типа PT, а ООО Рога и Копыта под экономику РОЗ.
Они не так давно проводили конкурс на выбор компании, которая будет делать им аудит. В итоге они получили бесплатные результаты пробных аудитов от разных компаний (включая РТ, насколько я знаю). А конкурс скорее всего выиграла названая Вами ООО.
«Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.»
Про безопасность не могу утверждать, но по техническим вопросам — проблема.
В ОПС мы обнаружили баг с расчетом стоимости посылки, написали письмо — все как полагается. И особо отметили, что операционисты не виноваты — это именно програмный баг. И что вы думаете? Через некоторое время лишили премии операционистов, баг исправили. Вместо виновных пострадали крайние.
Какое это имеет отношение к криптографии (в смысле, зачем оно в этом хабе)?
Пожалуй вы правы, убрал. Изначально добавил, потому что речь шла о корневом сертификате.
Пожалуй вы правы, убрал. Изначально добавил, потому что речь шла о корневом сертификате.
О да, не закрытый индекс директорий апача на сайте компании по ИТ безопасности — это круто. )
Скрин
Это не обязательно не закрытый индекс директорий апача, в ответ на запрос, сервер может выдавать все что угодно. Или же апач тут как риверс прокси. Да и что-то тут закрывать, тут же статичный хтмл, который делал школьник между уроками. Все страницы типа: sokol-online.com/?page=-1# тупо сделаны вручную, ведь у него была задача: «Отвесим столько деревянных сколько будет весить наш сайт».
Даже школьник может взломать почту России? :)
спасибо хоть капчу рандомную стали выдавать на трекинге
На это убожество, по-моему, даже уголовное дело заводить не надо.

Верстка сайта, например
image
Ну кто-то сайты делает, кто-то их взламывает, универсальных людей нет ) Если их «бизнес» в самом начале, то в общем-то сойдет. У той же Почты России сайт ещё более убогий.
С такими методами работы, их «бизнес» скоро придет к своему логичному завершению.
В принципе неудивительно, да и с технической точки зрения никто не застрахован от уязвимости. Хотя возможно, мои выводы основаны на комплексной работе нашей почты.
Что меня тронуло и заставило запостить это на Хабр, так это не факт наличия дырок и не то, что речь о Почте РФ, а то, что эту информацию в Почте РФ, похоже, никто и слышать не хочет.
Зная как иногда работают наши почтовые службы, меня это не сильно удивляет.
-У вас тут в бланке опечатка.
-Вот те уголовное дело на вас.
У меня? В каком бланке, можете пояснить или Вы ошиблись?
Dal просто продолжил вашу мысль.
Небольшая сценка по мотивам информации из комментариев.
Мужчина, вы что, не видите? У нас обед.
Как связаться с Соколом? У них нет email'а :(
Хотел бы отрепортить несколько уязвимостей, 2 из них с высоким уровнем риска.
В самом конце их ЖЖ-поста есть мыло. Я у кого уязвимости-то?
UFO just landed and posted this here
Уголовное дело это чудесно. Копании с мировым именем привлекают исследователей со всего мира и платят денежные вознаграждения за поиск дыр. А у нас дела заводят.

Что-ж, иностранной кибер разведке это только в радость. Не удивлюсь, что там уже давно копаются «заинтересованные лица» за проксями из Зимбабве.

А потом шалтаи-болтаи «совершенно случайно» находят интересные массивы информации.
UFO just landed and posted this here
Да чего там онлайн-инъекции, вот вам оффлайн пример:
Внутренними нормативными документами ПР предусмотрена выдача заказного письма с пометкой «судебное» любому, кто прописан по этому адресу. Что в случае развода супругов например может доставить неплохой геморрой (например неполучение уведомления о судебном заседании).
Ой, в домофон звонят, пойду открою, сейчас вернусь.
А вам давно последний раз почтальон вручал заказные письма? Мне всегда оставляют только уведомление, а письмо я получаю в отделении с предъявлением паспорта.

Касательно, внутренних инструкций — какое это отношение имеет к законам?
Вот именно — по уведомлению судебное письмо на почте может получить любой из зарегистрированных по этому адресу.
Заказные? Нужно написать жалобу в МинКомСвязи, их там воспитывают. Но для этого письмо должно быть адресовано именно вам.
Да, налоговая, пенсионный, приставы всё в ящике, судебных не было.
Да ладно, мои иностранные посылки соседям с других улиц относят и выдают, несмотря на несоответствие данных на почтовом лейбле и в паспорте.
Sign up to leave a comment.

Articles