Обновить
Комментарии 127
Потрясающе! Я до сих пор не перестаю удивляться.
В затраты на сайт так же входит Porsche Cayenne в полной комплектации для перевозки загруженных файлов с одного офиса в другой. Закупка универсальной метлы так же входит в эту стоимость. Примерно 50 мил руб за штуку. Это вам не метла для полётов из Гарри Поттера :)
Обождите, мы вам еще покажем кузькину мать и в производстве сельскохозяйственной продукции! )))
После этой новости место у них быстро кончится
Ничего страшного, выделят еще миллионов 20.
Они этого и ждут, чтоб запросить ещё финансов.
Зачем? Они и так почти каждую ночь падают «на обслуживание».
Надо попросить чтобы хотя капчу ввели, а то ведь сейчас завалят новй файл-хостинг (
Так на это дело можно яндекс или гугл натравить! Если перебирать, так с удобством!
Поздравляю, Вы поняли потаённый смысл фотографии.
Печально, что почти 1 млрд рублей уходит не понятно на что, когда нечем лечить больных людей — www.kommersant.ru/doc-rm/1760696
Хочется бежать из этой страны…
А где за границей нужны фрилансеры?
Если вы фрилансер, в чем проблема жить там, а работать здесь?
Обычно самый простой вариант для въёзда «туда» это по рабочей визе. Остальные способы либо дороги, либо неприемлемы (принудить себя жениться).
А видео туда заливать можно? Может, если сделать из этого порноресурс, до них дойдет?
и потом из новостей узнаем о дерзком взломе портала мего хакерами :)
Предлагаю выкладывать туда FullHD новинки!
Размер прикрепляемого файла должен быть меньше 50 Мбайт.
Тогда по старинке, кучей мелких раров
Ради такого дела можно написать JS-обертку и грузить кусочками по 50 метров :)
Деньги уйдут не на сам сайт, там в планах стоит закупка 70 серверных стоек.
Да какая разница, дайте людям понавальничать и попоросенокпетричать.
70 серверов и 11 шкафов, а не 70 стоек.
Что то у меня не открывается zakupki.gov.ru/pgz/documentform.
Админы ГосЗакупок проснулись и прочитали Хабр?
Да верно, опечатался — 70 серверов (думал о своем просто)
ЖЖ навального лежит. Видимо все ломанулись читать
без точки все открывается
Точку уберите и админы снова заснут :)
Интересно, а что там за нагрузки такие, что 70 серверов нужно?
a-k-d.ru/ к примеру насколько мне известно на одном неплохо справляется.
Разговаривал на эту тему с одним из представителей Яндекса.
Пришли к заключению что это либо не сервера, а хранилища либо они планируют сделать несколько площадок (поставить оборудование в нескольких ДЦ).
Хотя все ровно не понятно зачем столько.
Видимо затем же, зачем это делал в своё время Роскосмос на бюджетные деньги для хостинга Оверсан-Меркурия.
Т.е. вы хотите сказать, что 70 серверов стоят 700 миллионов рублей?)
Нужно выложить туда фильмы мигалкова, порнушку, экстремистские материалы, инсталлы винды и еще кучи контрафактного софта и требовать закрытия ресурса.
Это было бы глупо. Куда удобнее было бы оставить этот ресурс незакрытым ещё лет десять и сильно экономить усилия всех ищущих хостинга.
Не получится экономить — качество хостинга будет очень низким
Вы полагаете? Ниже пишут, что скорость отдачи, во всяком случае, не ниже пяти мегабитов в секунду.
Боюсь, что сайт элементарно не удержит нагрузку и упадет. Маловероятно, что создатели данного портала предполагали нагрузку, превышающую узкий список заинтересованных лиц.
Сейчас новость разлетится по другим сайтам и дырку начнут спешно латать подозреваю. Но сам факт, что за сотни миллионов выполняют сайт с такими детским проблемами в безопасности… Ну хоть быть контора которая пилит деньга за сайт, не сама его делала и платила нормальным профессионалам, чтобы не стыдно было заходить на него.
Этот факт вызывает у вас удивление?
Новости сегодня вечером: «Неизвестными была совершена DoS атака на сайт zakupki.gov.ru...»
Элементарным тыком, пятью номерами ранее, обнаруживается «ВЕДОМОСТЬ ОБЪЕМОВ РАБОТ по текущему ремонту фасада здания МУП МО Парголово по оказанию банно- оздоровительных услуг „Парголовские бани“ ». Интересно, когда в сети всплывет очередной скандальчик типа «Яндекс проиндексировал госконтракты и выдает всю подноготную закупок и откатов»?
Эти данные открыты. Что особого вы нашли в этой ведомости?
Еще 500 миллионов на закрытие дыры!
Это мелочи вы погуглите на тему ГАС Правосудие или ГАС Выборы.
Там такие суммы трартят каждый год.
А эффект пшик.
ГАС Правосудие не путать с системой из арбитражных судов.
Официальный ответ от гос-сайта:
Здравствуйте!
Ваше обращение с номером SD1XXXXXXXXX было закрыто.

Описание обращения:
Добрый день. У вас есть уязвимость, связанная с закачкой файлов на сервер гос закупок без авторизации. zakupki.gov.ru/pgz/documentform

Решение:
Уважаемый пользователь! Просьба выслать форму запроса, скриншоты Ваших действий и сертификат в формате .cer С уважением, служба технической поддержки официального сайта.
Неоднократно им писал про баги с формой поиска, реакции ноль.
Просьба выслать форму запроса, скриншоты Ваших действий и сертификат в формате .cer


Не удержался, плюсанул. :)

У меня складывается впечатление, что они вообще не хотят не то, что закрывать дыру, а даже признавать ее существование!
Сертификат вы.cer.
>> и сертификат в формате .cer

А также ваши паспортные данные, желательно копию паспорта, а также просим вас не покидать квартиру в ближайшие 3 часа
Судя по всему форма запроса и сертификат в формате .cer лежат там же.
Судя по всему, это не баг, а фича. Участие в конкурсах доступно всем, потому и закачка файлов — тоже (потому что участники должны закачать документы со своими предложениями по конкурсу). Закачивать можно, судя по всему, только картинки, документы и архивы, экзешники не жрёт, например.
Могли бы, однако,

  • требовать авторизации перед закачкою;
     
  • воспретить hotlinking.
Торги бывают электронные и не электронные.
Первые проходят на спец. площадках и для участия в них нужно не только авторизацию, но и ЭЦП.
На вторые документы подается в бумажном виде лично или по-почте.
Так что это баг.
Кто желает скачать все секретные документы с госзакупок — запустите скрипт.
#!/bin/sh
URL='http://zakupki.gov.ru/pgz/documentdownload?documentId='
NUM='0'

while [ true ]
do
LINK=$URL$NUM
wget -O ./data/$NUM $LINK
NUM=`expr $NUM + 1`
done;

Сразу скажу: 39 миллионов номеров документов перебрать и каждый скачать — это немалый дисковый простор надобен.
Во-первых, до 18560 вообще ничего нет.
Во-вторых, примерно 4 из 5 документов — 404 Not Found
В-третьих, средний размер документа 300Кб. Т.е. надо всего около 2Тб жесткого диска
самое интересное начинается с цифры 18 000
curl --remote-name-all -J 'http://zakupki.gov.ru/pgz/documentdownload?documentId=[18650-100000]'
короче, но пустые будет грузить и по папкам не рассортирует :)
Попробовал и я подбирать цифры.
Надо придумать какое-нибудь игру типа «Поле чудес»(Млин, какой-то двойной смысл получается, применительно к этой ситуации в целом).
Вместо слова Якубовича «Назовите букву», будет «Угадайте цифру».
И так, мои результаты в этой игре:

1 раунд: мое число — 39240775. Приз: «Приложение к извещению о проведении открытого аукциона в электронной форме.»

Полуфинал: мое число — 39240645. Приз: «Проект котировочной заявки для правительства Хабаровского края»

Финал: мое число — 39240665. Приз: «Чертежи таможенного пропускного пункта в пос. Южно-Курильск»
Надо репозиторий сделать с сылками. Нужны тебе «Чертежи таможенного пропускного пункта в пос. Южно-Курильск», зашел скачал, ну и так далее :)
А что насчет скорости скачивания/закачивания?
У меня упирается в 5мбит канала
предлагаю удвоить бюджет в 778 млн в связи с необходимостью закрыть столь существенные дыры и сложностью реализации данного патча!
Все правительственные сайты, как и сайты крупного бизнеса, делаются в итоге одним студентиком за еду!


Простите за категоричность, но вот (оффтоп) мне как-то, лет 5 назад, доводилось работать в небольшой конторке. Заказ сделать сайт департаменту Статистики получили мы с коллегой, нынешним другом и партнёром. Нас предупредили, чтобы мы в исходниках не указывали никаких имён и фамилий, а также названия нашей конторы — оказывается, мы делаем сайт нелегально. Из подслушанных разговоров начальства выяснилось, что сайт вообще-то департамент заказал именитой конторе нашей страны за 5 млн. лт., а нашей достался только один. Нужно ли говорить, что нам с коллегой платилась только зарплата, не очень большая? :)
предлагаю удвоить бюджет в 778 млн в связи с необходимостью закрыть столь существенные дыры и сложностью реализации данного патча!
Видимо там узнали что такое Хабрахабр, вот и закрыли.
Ждем блог Zakupki.gov.ru на Хабре=)
> там узнали что такое Хабрахабр

не обвинят ли Хабрахабр за что-нибудь (за взлом, подстрекательство, или что там еще взбредет в воспаленный чиновничий мозг)? :)
Видать кто-то таки отправил сертификат в формате .cer
залатали дыру?
Запрашиваемая страница не существует.
Но перебором id еще можно получить док.
Зачем перебор. В гугле всё есть.
Это очевидно, учитывая, что сайт специально создавался для того, чтобы публиковать октытую информацию. Документы в том числе. Соответственно да, документы можно скачать.
Этот док никакой секретной информации не несет.
Ну, суть в том, что эти документы и так можно совершенно свободно скачать со страницы тендера. Пример:

Через форму расширенного поиска находим аукционы в электронной форме:
найти
Щелкаем по любому из них и открываем вкладку «Документы заказа» например вот zakupki.gov.ru/pgz/public/action/orders/info/order_document_list_info/show?notificationId=860009

Жмем на любую ссылку на документ, например в разделе «Разъяснения документации об аукционе в электронной форме» — «Разъяснение1» — при клике вызывается JS функция downloadDocument(33239755)
код которой
function downloadDocument(id){
    window.open(appRoot + '/documentdownload?documentId=' + id,'');
}


PS: а если кликнуть по ссылке «Протокол 1267» в разделе «Протоколы работы комиссии» то попадем как раз на, теперь уже удаленную, страницу загрузки файла такую — так я собственно эту дырку и нашел случайно. Причем в GET параметре «showMessage» была еще и XSS
«Дверь мне запили...»
— Да запилю, запилю.
фак, кончилась халява, не успев начаться…
За такие деньги можно несколько жилых домов построить поселить в них программистов, купить им компы, заплатить зарплату и они с нуля напишут тысячу таких сайтов.

А тут все сведется к известному:
— У нас есть 20 тысяч рублей и нам нужен сайт.
— Хорошо, а ничего если я работу буду совмещать с учебой…
и т.д.
Есть уже ссылки на интересные новинки кино? Поделитесь.
НЛО прилетело и опубликовало эту надпись здесь
Не расшатывайте лодку, а не то расшатают дырку.
Вообще-то там написано, что уязвимость действует только для форумов с установленным модулем закладок. Что заставляет Вас думать, что на форуме сайта госзакупок установлен этот модуль?
точно, прочитал полностью только дескрипшин. Думал закладки просто фича движка форума.
Возможно, он входит в стандартную поставку, и его не потрудились удалить.
Дырку на закачку закрыли, но файлы скачивать можно
Млин, такой файлообменник пропал (
Без капчи, без рекламы, с хорошей скоростью.

Ну надеюсь как подлатают, и введут хотя бы капчу, снова откроют.
Вот только бы рекламы много бы не вводили, а то в айфолдере пока скачаешь что нибудь, нужно посмотреть 20 баннеров.
Залейте им там голых тёток, фотошоп и пару текстовых документов с лозунгами — пусть потом только попробуют до кого-то докопаться за хранение «неправильных» файлов )
Эм… Все работает. Дыру еще не прикрыли.
А мне кажется, что прикрыли. (Во всяком случае, по адресу http://zakupki.gov.ru/pgz/documentform выдаётся ошибка 404, причём её страница не содержит форму закачки.)
> 778 миллионов рублей на развитие портала zakupki.gov.ru

Ну видимо эти деньги пойдут на устранение данной уязвимости. Могу предложить лицам, ответственным за этот сайт, свои услуги разработчика и следовательно сэкономить для них немного денег (готов закрыть данную уязвимость миллионов за 50).
интересно, а залитого туда хрущева они догадаются удалить )) а может и еще чего народ успел. пока смотрю, не догадались :)
Да, наше правительство меня удивляет!

P.S. карма < 0
По ссылке из топика грузится бинарник "=" весом в 23КБ. Переименование в *.jpg говорит о том, что файл с картинкой они не удаляли )
Как можно залить файл.
Переходим по ссылке zakupki.gov.ru/pgz/documentform/
Выбираем нужный файл и жмем «Прикрепить».
Потом сайт выбрасывает ошибку «Запрашиваемая страница не существует», здесь просто нужно вернуться на предыдущую страницу и нажать F5
В итоге увидим ссылку на наш залитый файл.
сорри, сеть глючила, лишнее наотправлял :(
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.