Обнаруженная ранее дыра в системе безопасности гова — ещё не самая глубокая.
Если зайти на ФТП сервер гова… («Полная база данных извещений о размещении заказов, полная база данных протоколов о размещении заказов, а также полная база данных единого реестра контрактов с разбивкой по субъектам Российской Федерации» — взято с главной страницы Zakupki.gov.ru — free:free@77.246.101.195:21), то среди кучи папок с названиями областей, можно обнаружить папку «Tambovskaja_obl» и увидеть, что права на неё установлены весьма специфические для папки, содержимое которой предназначено только для скачивания — 777. Чем грозят подобные права, думаю, объяснять не нужно — любой может зайти и начать резвится внутри этой папки как его душе угодно.
Если зайти на ФТП сервер гова… («Полная база данных извещений о размещении заказов, полная база данных протоколов о размещении заказов, а также полная база данных единого реестра контрактов с разбивкой по субъектам Российской Федерации» — взято с главной страницы Zakupki.gov.ru — free:free@77.246.101.195:21), то среди кучи папок с названиями областей, можно обнаружить папку «Tambovskaja_obl» и увидеть, что права на неё установлены весьма специфические для папки, содержимое которой предназначено только для скачивания — 777. Чем грозят подобные права, думаю, объяснять не нужно — любой может зайти и начать резвится внутри этой папки как его душе угодно.
