Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 127
Потрясающе! Я до сих пор не перестаю удивляться.
В затраты на сайт так же входит Porsche Cayenne в полной комплектации для перевозки загруженных файлов с одного офиса в другой. Закупка универсальной метлы так же входит в эту стоимость. Примерно 50 мил руб за штуку. Это вам не метла для полётов из Гарри Поттера :)
Обождите, мы вам еще покажем кузькину мать и в производстве сельскохозяйственной продукции! )))
После этой новости место у них быстро кончится
Не завалим хабраэффектом? )
Так на это дело можно яндекс или гугл натравить! Если перебирать, так с удобством!
Вот, для любителей покопаться:
www.google.com/search?q=site:http://zakupki.gov.ru/pgz/+inurl:documentdownload
www.google.com/search?q=site:http://zakupki.gov.ru/pgz/+inurl:documentdownload
Сталина на них нет…
Печально, что почти 1 млрд рублей уходит не понятно на что, когда нечем лечить больных людей — www.kommersant.ru/doc-rm/1760696
Хочется бежать из этой страны…
Хочется бежать из этой страны…
А видео туда заливать можно? Может, если сделать из этого порноресурс, до них дойдет?
убийца depositfiles.com
Предлагаю выкладывать туда FullHD новинки!
Деньги уйдут не на сам сайт, там в планах стоит закупка 70 серверных стоек.
Да какая разница, дайте людям понавальничать и попоросенокпетричать.
70 серверов и 11 шкафов, а не 70 стоек.
Что то у меня не открывается zakupki.gov.ru/pgz/documentform.
Админы ГосЗакупок проснулись и прочитали Хабр?
Что то у меня не открывается zakupki.gov.ru/pgz/documentform.
Админы ГосЗакупок проснулись и прочитали Хабр?
та нет, работает :)
там точка в конце ссылки лишняя у тебя :)
http://zakupki.gov.ru/pgz/documentform
там точка в конце ссылки лишняя у тебя :)
http://zakupki.gov.ru/pgz/documentform
Да верно, опечатался — 70 серверов (думал о своем просто)
ЖЖ навального лежит. Видимо все ломанулись читать
ЖЖ навального лежит. Видимо все ломанулись читать
без точки все открывается
Точку уберите и админы снова заснут :)
Интересно, а что там за нагрузки такие, что 70 серверов нужно?
a-k-d.ru/ к примеру насколько мне известно на одном неплохо справляется.
a-k-d.ru/ к примеру насколько мне известно на одном неплохо справляется.
Т.е. вы хотите сказать, что 70 серверов стоят 700 миллионов рублей?)
Нужно выложить туда фильмы мигалкова, порнушку, экстремистские материалы, инсталлы винды и еще кучи контрафактного софта и требовать закрытия ресурса.
Это было бы глупо. Куда удобнее было бы оставить этот ресурс незакрытым ещё лет десять и сильно экономить усилия всех ищущих хостинга.
Не получится экономить — качество хостинга будет очень низким
Вы полагаете? Ниже пишут, что скорость отдачи, во всяком случае, не ниже пяти мегабитов в секунду.
Сейчас новость разлетится по другим сайтам и дырку начнут спешно латать подозреваю. Но сам факт, что за сотни миллионов выполняют сайт с такими детским проблемами в безопасности… Ну хоть быть контора которая пилит деньга за сайт, не сама его делала и платила нормальным профессионалам, чтобы не стыдно было заходить на него.
Новости сегодня вечером: «Неизвестными была совершена DoS атака на сайт zakupki.gov.ru...»
Элементарным тыком, пятью номерами ранее, обнаруживается «ВЕДОМОСТЬ ОБЪЕМОВ РАБОТ по текущему ремонту фасада здания МУП МО Парголово по оказанию банно- оздоровительных услуг „Парголовские бани“ ». Интересно, когда в сети всплывет очередной скандальчик типа «Яндекс проиндексировал госконтракты и выдает всю подноготную закупок и откатов»?
Еще 500 миллионов на закрытие дыры!
Это мелочи вы погуглите на тему ГАС Правосудие или ГАС Выборы.
Там такие суммы трартят каждый год.
А эффект пшик.
ГАС Правосудие не путать с системой из арбитражных судов.
Там такие суммы трартят каждый год.
А эффект пшик.
ГАС Правосудие не путать с системой из арбитражных судов.
Официальный ответ от гос-сайта:
Здравствуйте!
Ваше обращение с номером SD1XXXXXXXXX было закрыто.
Описание обращения:
Добрый день. У вас есть уязвимость, связанная с закачкой файлов на сервер гос закупок без авторизации. zakupki.gov.ru/pgz/documentform
Решение:
Уважаемый пользователь! Просьба выслать форму запроса, скриншоты Ваших действий и сертификат в формате .cer С уважением, служба технической поддержки официального сайта.
Неоднократно им писал про баги с формой поиска, реакции ноль.
Просьба выслать форму запроса, скриншоты Ваших действий и сертификат в формате .cer
Не удержался, плюсанул. :)
У меня складывается впечатление, что они вообще не хотят не то, что закрывать дыру, а даже признавать ее существование!
Сертификат вы.cer.
>> и сертификат в формате .cer
А также ваши паспортные данные, желательно копию паспорта, а также просим вас не покидать квартиру в ближайшие 3 часа
А также ваши паспортные данные, желательно копию паспорта, а также просим вас не покидать квартиру в ближайшие 3 часа
Судя по всему форма запроса и сертификат в формате .cer лежат там же.
Судя по всему, это не баг, а фича. Участие в конкурсах доступно всем, потому и закачка файлов — тоже (потому что участники должны закачать документы со своими предложениями по конкурсу). Закачивать можно, судя по всему, только картинки, документы и архивы, экзешники не жрёт, например.
Кто желает скачать все секретные документы с госзакупок — запустите скрипт.
#!/bin/sh
URL='http://zakupki.gov.ru/pgz/documentdownload?documentId='
NUM='0'
while [ true ]
do
LINK=$URL$NUM
wget -O ./data/$NUM $LINK
NUM=`expr $NUM + 1`
done;
Попробовал и я подбирать цифры.
Надо придумать какое-нибудь игру типа «Поле чудес»(Млин, какой-то двойной смысл получается, применительно к этой ситуации в целом).
Вместо слова Якубовича «Назовите букву», будет «Угадайте цифру».
И так, мои результаты в этой игре:
1 раунд: мое число — 39240775. Приз: «Приложение к извещению о проведении открытого аукциона в электронной форме.»
Полуфинал: мое число — 39240645. Приз: «Проект котировочной заявки для правительства Хабаровского края»
Финал: мое число — 39240665. Приз: «Чертежи таможенного пропускного пункта в пос. Южно-Курильск»
Надо придумать какое-нибудь игру типа «Поле чудес»(Млин, какой-то двойной смысл получается, применительно к этой ситуации в целом).
Вместо слова Якубовича «Назовите букву», будет «Угадайте цифру».
И так, мои результаты в этой игре:
1 раунд: мое число — 39240775. Приз: «Приложение к извещению о проведении открытого аукциона в электронной форме.»
Полуфинал: мое число — 39240645. Приз: «Проект котировочной заявки для правительства Хабаровского края»
Финал: мое число — 39240665. Приз: «Чертежи таможенного пропускного пункта в пос. Южно-Курильск»
А что насчет скорости скачивания/закачивания?
предлагаю удвоить бюджет в 778 млн в связи с необходимостью закрыть столь существенные дыры и сложностью реализации данного патча!
Все правительственные сайты, как и сайты крупного бизнеса, делаются в итоге одним студентиком за еду!
Простите за категоричность, но вот (оффтоп) мне как-то, лет 5 назад, доводилось работать в небольшой конторке. Заказ сделать сайт департаменту Статистики получили мы с коллегой, нынешним другом и партнёром. Нас предупредили, чтобы мы в исходниках не указывали никаких имён и фамилий, а также названия нашей конторы — оказывается, мы делаем сайт нелегально. Из подслушанных разговоров начальства выяснилось, что сайт вообще-то департамент заказал именитой конторе нашей страны за 5 млн. лт., а нашей достался только один. Нужно ли говорить, что нам с коллегой платилась только зарплата, не очень большая? :)
Простите за категоричность, но вот (оффтоп) мне как-то, лет 5 назад, доводилось работать в небольшой конторке. Заказ сделать сайт департаменту Статистики получили мы с коллегой, нынешним другом и партнёром. Нас предупредили, чтобы мы в исходниках не указывали никаких имён и фамилий, а также названия нашей конторы — оказывается, мы делаем сайт нелегально. Из подслушанных разговоров начальства выяснилось, что сайт вообще-то департамент заказал именитой конторе нашей страны за 5 млн. лт., а нашей достался только один. Нужно ли говорить, что нам с коллегой платилась только зарплата, не очень большая? :)
предлагаю удвоить бюджет в 778 млн в связи с необходимостью закрыть столь существенные дыры и сложностью реализации данного патча!
zakupki.gov.ru/pgz/documentform — Запрашиваемая страница не существует.
залатали дыру?
Запрашиваемая страница не существует.
Нанодосками забили.
Но перебором id еще можно получить док.
Зачем перебор. В гугле всё есть.
Это очевидно, учитывая, что сайт специально создавался для того, чтобы публиковать октытую информацию. Документы в том числе. Соответственно да, документы можно скачать.
Этот док никакой секретной информации не несет.
А персональную?
Ну, суть в том, что эти документы и так можно совершенно свободно скачать со страницы тендера. Пример:
Через форму расширенного поиска находим аукционы в электронной форме:
найти
Щелкаем по любому из них и открываем вкладку «Документы заказа» например вот zakupki.gov.ru/pgz/public/action/orders/info/order_document_list_info/show?notificationId=860009
Жмем на любую ссылку на документ, например в разделе «Разъяснения документации об аукционе в электронной форме» — «Разъяснение1» — при клике вызывается JS функция
код которой
PS: а если кликнуть по ссылке «Протокол 1267» в разделе «Протоколы работы комиссии» то попадем как раз на, теперь уже удаленную, страницу загрузки файла такую — так я собственно эту дырку и нашел случайно. Причем в GET параметре «showMessage» была еще и XSS
Через форму расширенного поиска находим аукционы в электронной форме:
найти
Щелкаем по любому из них и открываем вкладку «Документы заказа» например вот zakupki.gov.ru/pgz/public/action/orders/info/order_document_list_info/show?notificationId=860009
Жмем на любую ссылку на документ, например в разделе «Разъяснения документации об аукционе в электронной форме» — «Разъяснение1» — при клике вызывается JS функция
downloadDocument(33239755)код которой
function downloadDocument(id){
window.open(appRoot + '/documentdownload?documentId=' + id,'');
}PS: а если кликнуть по ссылке «Протокол 1267» в разделе «Протоколы работы комиссии» то попадем как раз на, теперь уже удаленную, страницу загрузки файла такую — так я собственно эту дырку и нашел случайно. Причем в GET параметре «showMessage» была еще и XSS
«Дверь мне запили...»
— Да запилю, запилю.
— Да запилю, запилю.
фак, кончилась халява, не успев начаться…
За такие деньги можно несколько жилых домов построить поселить в них программистов, купить им компы, заплатить зарплату и они с нуля напишут тысячу таких сайтов.
А тут все сведется к известному:
— У нас есть 20 тысяч рублей и нам нужен сайт.
— Хорошо, а ничего если я работу буду совмещать с учебой…
и т.д.
А тут все сведется к известному:
— У нас есть 20 тысяч рублей и нам нужен сайт.
— Хорошо, а ничего если я работу буду совмещать с учебой…
и т.д.
Есть уже ссылки на интересные новинки кино? Поделитесь.
Там и на FTP дыры.
zakupki.gov.ru/forum/forums/list.page
Powered by JForum 2.1.8 © JForum Team
www.exploit-db.com/exploits/13754/
топик продолжается :]
Powered by JForum 2.1.8 © JForum Team
www.exploit-db.com/exploits/13754/
топик продолжается :]
Вообще-то там написано, что уязвимость действует только для форумов с установленным модулем закладок. Что заставляет Вас думать, что на форуме сайта госзакупок установлен этот модуль?
Дырку на закачку закрыли, но файлы скачивать можно
Залейте им там голых тёток, фотошоп и пару текстовых документов с лозунгами — пусть потом только попробуют до кого-то докопаться за хранение «неправильных» файлов )
zakutube.gov.ru
Эм… Все работает. Дыру еще не прикрыли.
А мне кажется, что прикрыли. (Во всяком случае, по адресу http://zakupki.gov.ru/pgz/documentform выдаётся ошибка 404, причём её страница не содержит форму закачки.)
Ну там нужно немного ссылку подправить и все ок :)
zakupki.gov.ru/pgz/documentform/
zakupki.gov.ru/pgz/documentform/
> 778 миллионов рублей на развитие портала zakupki.gov.ru
Ну видимо эти деньги пойдут на устранение данной уязвимости. Могу предложить лицам, ответственным за этот сайт, свои услуги разработчика и следовательно сэкономить для них немного денег (готов закрыть данную уязвимость миллионов за 50).
Ну видимо эти деньги пойдут на устранение данной уязвимости. Могу предложить лицам, ответственным за этот сайт, свои услуги разработчика и следовательно сэкономить для них немного денег (готов закрыть данную уязвимость миллионов за 50).
Мицгол — крыса. :(
интересно, а залитого туда хрущева они догадаются удалить )) а может и еще чего народ успел. пока смотрю, не догадались :)
Да, наше правительство меня удивляет!
P.S. карма < 0
P.S. карма < 0
По ссылке из топика грузится бинарник "=" весом в 23КБ. Переименование в *.jpg говорит о том, что файл с картинкой они не удаляли )
Как можно залить файл.
Переходим по ссылке zakupki.gov.ru/pgz/documentform/
Выбираем нужный файл и жмем «Прикрепить».
Потом сайт выбрасывает ошибку «Запрашиваемая страница не существует», здесь просто нужно вернуться на предыдущую страницу и нажать F5
В итоге увидим ссылку на наш залитый файл.
Переходим по ссылке zakupki.gov.ru/pgz/documentform/
Выбираем нужный файл и жмем «Прикрепить».
Потом сайт выбрасывает ошибку «Запрашиваемая страница не существует», здесь просто нужно вернуться на предыдущую страницу и нажать F5
В итоге увидим ссылку на наш залитый файл.
Молодец.
Хорошая инструкция
а вот и ссылка на залитый файл картинки
«Трамвай в Лиссабоне»
zakupki.gov.ru/pgz/documentdownload?documentId=39543961&id=&idOld=&class=null&docType=&cid=&org.springframework.webflow.FlowExecutionKey=null
а вот и ссылка на залитый файл картинки
«Трамвай в Лиссабоне»
zakupki.gov.ru/pgz/documentdownload?documentId=39543961&id=&idOld=&class=null&docType=&cid=&org.springframework.webflow.FlowExecutionKey=null
сорри, сеть глючила, лишнее наотправлял :(
В адресе также много лишнего; достаточно указать documentId: http://zakupki.gov.ru/pgz/documentdownload?documentId=39543961
![[изображение]](http://zakupki.gov.ru/pgz/documentdownload?documentId=39543961)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Используем правительственный сайт zakupki.gov.ru как средство бесплатного хостинга статических файлов