Pull to refresh

Comments 30

Либо НЛО удалит, либо хабр может в бан попасть. В Казахстане не любят гласности.
Прошлая подобная статья потом оказалась в черновиках… )
прошлые две статьи оказались в черновиках из-за того, что в ней присутствовала реклама нас, за что мы очень сожалеем и больше так не будем =)
Первая была про раскрытие номера телефона через ЭП, вторая про уязвимость на портале Билайн Казахстан.
) ОО. Про Билайн, это шикарно. Как-то решили вопрос? Могу помочь донести знание о уязвимости, если она была.
Хотя они что-то обновляли на днях, может и из-за этого.
там была проблема просто в том, что на oplata.beeline.kz при восстановление пароля высылался 4 значный код. Который брутился в 40 потоков меньше чем за 10 минут. Никакой защиты не было. После того как мы сообщили им они исправляли это около 2 недель. Кроме устной благодарности мы больше ничего не получили =)
) Да, я после своего коммента заглянул к вам на сайт, почитал.
Думаю, если вы ожидали чего-то более, то вы не правильно формулировали свое желание )
Вы только КазНет патрулируете?
В основном да, нашими услугами в Казнете пользуются финансовые структуры (Банки, крупные фин компании), но есть среди клиентов также несколько стартапов с России и Америки.
http://informburo.kz/novosti/kazahstancam-sovetuyut-obrashchatsya-v-mvd-i-knb-po-povodu-utechki-personalnyh-dannyh-advokat.html

В данном случае скорее наоборот — прошла раскрутка паники
Один из самых банальных миссконфигов.
Интересно то, что вы рассказываете, как украли
более 50 000 документов (или около 10GB) граждан Республики Казахстан за недельный срок.

и не боитесь ответственности за это! =)
Интересно то, что вы рассказываете, как украли

Говорится о потенциальной дырке, которую прикрыли. Были ли реальные кражи — не сообщается:
Одна «незначительная» деталь, которая может привести

который показал, что существовала возможность выкачать
Тогда ждем следующий пост автора об автоматизации анализа 50 тыс документов или около 10Gb данных =)
Счетчик показал возможность скачивать документы в предположительно таком объеме =)
Если уж на сайте апача есть сервер-статус, что же говорить о других.
Да и вообще, зачем в 2016 apache? Но это уже другая история…
Это не мелочи, можно так и id сессии, например, перехватить и дальше будет еще хуже (если есть какая-либо админка на том же сервере)
только я считаю, что открытый server-status играет малозначительную роль?
Тут больше проблема, в том что данные доступны по GET запросу :/
в смысле, по GET запросу «со стороны».

Самое простое — кроме номера документа и ИНН в GET, просить куку, которую ставить после логина.
Чуть сложнее — отслеживать сессии. Сессии привязывать к IP-адресу клиента.
Сделать ограничение по времени актуальности ссылки

Люди, которые сейчас занимаются такого рода вещами в 100500 раз лучше меня расскажут, как можно сделать так, что бы зная GET-запрос, было очень сложно утащить контент.

И вот это реальная проблема, а не то, что кто-то смог посмотреть URL'и
http://egov.kz/shepDownloadPdf?favorId(номер документа)&iin=(номер ИИН)
favorID. Не ServiceID. Favor. ID. Идентификатор одолжения. Всё.

А инкрементальные ID — классика, которая, кажется, никогда не переведётся и у нас будет ещё много утечек связанных с таким типом ошибок.
Классика: попилили бюджет, а что осталось, то и выделили разработчикам.
Распил бюджетов в нашей стране к сожалению имеет быть.

Но никто же не заставлял под дулом пистолета брать заказ на сайт с маленьким бюджетом — нормальная компания должна же оценивать свои свои силы и возможности сделать за такой бюджет не какашку.
А еще, когда ЭЦП выдают, то пароль ставят год рождения. Ну и еще куча уязвимостей при походе в наши ЦОНы (центр обслуживания населения) и при пользовании egov.kz
UFO just landed and posted this here
Большинство стандартный пароль 123456 на эцп юзает. Если бы еще дата рождения
Хотелось бы в статье увидеть больше про Server-Status, что это такое, как делать надо, как не надо.
Помнится когда только настраивался e-gov, мы c коллегой решили просто протестировать сайт, зашли и попали в админку IBM WebSphere, вместо стандартного пользовательского контента ) Было воскресенье, счетчик показывал двух пользователей, скорее всего сайтом только мы и интересовались )
В Латвии точно таким же образом «хакер Нео» в 2009–2010 гг. скачал много налоговых деклараций и опубликовал выдержки данных о разных известных государственных людях. Подгорело массово и хорошо.

Одна из первых новостей на тему: rus.tvnet.lv/novosti/kriminal_i_chp/127398-proizoshla_utjechka_dannih_74_millionov_djeklaraciy
Sign up to leave a comment.

Articles