Comments 127
Потрясающе! Я до сих пор не перестаю удивляться.
+2
В затраты на сайт так же входит Porsche Cayenne в полной комплектации для перевозки загруженных файлов с одного офиса в другой. Закупка универсальной метлы так же входит в эту стоимость. Примерно 50 мил руб за штуку. Это вам не метла для полётов из Гарри Поттера :)
+34
Обождите, мы вам еще покажем кузькину мать и в производстве сельскохозяйственной продукции! )))
+1
После этой новости место у них быстро кончится
+4
Не завалим хабраэффектом? )
+2
Так на это дело можно яндекс или гугл натравить! Если перебирать, так с удобством!
+1
Вот, для любителей покопаться:
www.google.com/search?q=site:http://zakupki.gov.ru/pgz/+inurl:documentdownload
www.google.com/search?q=site:http://zakupki.gov.ru/pgz/+inurl:documentdownload
+4
Сталина на них нет…
+14
Печально, что почти 1 млрд рублей уходит не понятно на что, когда нечем лечить больных людей — www.kommersant.ru/doc-rm/1760696
Хочется бежать из этой страны…
Хочется бежать из этой страны…
+15
А видео туда заливать можно? Может, если сделать из этого порноресурс, до них дойдет?
+6
убийца depositfiles.com
+31
Предлагаю выкладывать туда FullHD новинки!
+12
Деньги уйдут не на сам сайт, там в планах стоит закупка 70 серверных стоек.
+3
Да какая разница, дайте людям понавальничать и попоросенокпетричать.
+3
70 серверов и 11 шкафов, а не 70 стоек.
Что то у меня не открывается zakupki.gov.ru/pgz/documentform.
Админы ГосЗакупок проснулись и прочитали Хабр?
Что то у меня не открывается zakupki.gov.ru/pgz/documentform.
Админы ГосЗакупок проснулись и прочитали Хабр?
0
та нет, работает :)
там точка в конце ссылки лишняя у тебя :)
http://zakupki.gov.ru/pgz/documentform
там точка в конце ссылки лишняя у тебя :)
http://zakupki.gov.ru/pgz/documentform
0
Да верно, опечатался — 70 серверов (думал о своем просто)
ЖЖ навального лежит. Видимо все ломанулись читать
ЖЖ навального лежит. Видимо все ломанулись читать
0
без точки все открывается
0
Точку уберите и админы снова заснут :)
+4
Разговаривал на эту тему с одним из представителей Яндекса.
Пришли к заключению что это либо не сервера, а хранилища либо они планируют сделать несколько площадок (поставить оборудование в нескольких ДЦ).
Хотя все ровно не понятно зачем столько.
Пришли к заключению что это либо не сервера, а хранилища либо они планируют сделать несколько площадок (поставить оборудование в нескольких ДЦ).
Хотя все ровно не понятно зачем столько.
+1
Т.е. вы хотите сказать, что 70 серверов стоят 700 миллионов рублей?)
+2
Нужно выложить туда фильмы мигалкова, порнушку, экстремистские материалы, инсталлы винды и еще кучи контрафактного софта и требовать закрытия ресурса.
+18
Сейчас новость разлетится по другим сайтам и дырку начнут спешно латать подозреваю. Но сам факт, что за сотни миллионов выполняют сайт с такими детским проблемами в безопасности… Ну хоть быть контора которая пилит деньга за сайт, не сама его делала и платила нормальным профессионалам, чтобы не стыдно было заходить на него.
+3
Новости сегодня вечером: «Неизвестными была совершена DoS атака на сайт zakupki.gov.ru...»
+4
Элементарным тыком, пятью номерами ранее, обнаруживается «ВЕДОМОСТЬ ОБЪЕМОВ РАБОТ по текущему ремонту фасада здания МУП МО Парголово по оказанию банно- оздоровительных услуг „Парголовские бани“ ». Интересно, когда в сети всплывет очередной скандальчик типа «Яндекс проиндексировал госконтракты и выдает всю подноготную закупок и откатов»?
+1
Еще 500 миллионов на закрытие дыры!
0
Это мелочи вы погуглите на тему ГАС Правосудие или ГАС Выборы.
Там такие суммы трартят каждый год.
А эффект пшик.
ГАС Правосудие не путать с системой из арбитражных судов.
Там такие суммы трартят каждый год.
А эффект пшик.
ГАС Правосудие не путать с системой из арбитражных судов.
0
Официальный ответ от гос-сайта:
Здравствуйте!
Ваше обращение с номером SD1XXXXXXXXX было закрыто.
Описание обращения:
Добрый день. У вас есть уязвимость, связанная с закачкой файлов на сервер гос закупок без авторизации. zakupki.gov.ru/pgz/documentform
Решение:
Уважаемый пользователь! Просьба выслать форму запроса, скриншоты Ваших действий и сертификат в формате .cer С уважением, служба технической поддержки официального сайта.
+65
Неоднократно им писал про баги с формой поиска, реакции ноль.
0
Просьба выслать форму запроса, скриншоты Ваших действий и сертификат в формате .cer
Не удержался, плюсанул. :)
У меня складывается впечатление, что они вообще не хотят не то, что закрывать дыру, а даже признавать ее существование!
Сертификат вы.cer.
+14
>> и сертификат в формате .cer
А также ваши паспортные данные, желательно копию паспорта, а также просим вас не покидать квартиру в ближайшие 3 часа
А также ваши паспортные данные, желательно копию паспорта, а также просим вас не покидать квартиру в ближайшие 3 часа
+25
Судя по всему форма запроса и сертификат в формате .cer лежат там же.
+2
Судя по всему, это не баг, а фича. Участие в конкурсах доступно всем, потому и закачка файлов — тоже (потому что участники должны закачать документы со своими предложениями по конкурсу). Закачивать можно, судя по всему, только картинки, документы и архивы, экзешники не жрёт, например.
0
Кто желает скачать все секретные документы с госзакупок — запустите скрипт.
#!/bin/sh
URL='http://zakupki.gov.ru/pgz/documentdownload?documentId='
NUM='0'
while [ true ]
do
LINK=$URL$NUM
wget -O ./data/$NUM $LINK
NUM=`expr $NUM + 1`
done;
+6
Попробовал и я подбирать цифры.
Надо придумать какое-нибудь игру типа «Поле чудес»(Млин, какой-то двойной смысл получается, применительно к этой ситуации в целом).
Вместо слова Якубовича «Назовите букву», будет «Угадайте цифру».
И так, мои результаты в этой игре:
1 раунд: мое число — 39240775. Приз: «Приложение к извещению о проведении открытого аукциона в электронной форме.»
Полуфинал: мое число — 39240645. Приз: «Проект котировочной заявки для правительства Хабаровского края»
Финал: мое число — 39240665. Приз: «Чертежи таможенного пропускного пункта в пос. Южно-Курильск»
Надо придумать какое-нибудь игру типа «Поле чудес»(Млин, какой-то двойной смысл получается, применительно к этой ситуации в целом).
Вместо слова Якубовича «Назовите букву», будет «Угадайте цифру».
И так, мои результаты в этой игре:
1 раунд: мое число — 39240775. Приз: «Приложение к извещению о проведении открытого аукциона в электронной форме.»
Полуфинал: мое число — 39240645. Приз: «Проект котировочной заявки для правительства Хабаровского края»
Финал: мое число — 39240665. Приз: «Чертежи таможенного пропускного пункта в пос. Южно-Курильск»
+3
А что насчет скорости скачивания/закачивания?
0
предлагаю удвоить бюджет в 778 млн в связи с необходимостью закрыть столь существенные дыры и сложностью реализации данного патча!
+7
Все правительственные сайты, как и сайты крупного бизнеса, делаются в итоге одним студентиком за еду!
Простите за категоричность, но вот (оффтоп) мне как-то, лет 5 назад, доводилось работать в небольшой конторке. Заказ сделать сайт департаменту Статистики получили мы с коллегой, нынешним другом и партнёром. Нас предупредили, чтобы мы в исходниках не указывали никаких имён и фамилий, а также названия нашей конторы — оказывается, мы делаем сайт нелегально. Из подслушанных разговоров начальства выяснилось, что сайт вообще-то департамент заказал именитой конторе нашей страны за 5 млн. лт., а нашей достался только один. Нужно ли говорить, что нам с коллегой платилась только зарплата, не очень большая? :)
Простите за категоричность, но вот (оффтоп) мне как-то, лет 5 назад, доводилось работать в небольшой конторке. Заказ сделать сайт департаменту Статистики получили мы с коллегой, нынешним другом и партнёром. Нас предупредили, чтобы мы в исходниках не указывали никаких имён и фамилий, а также названия нашей конторы — оказывается, мы делаем сайт нелегально. Из подслушанных разговоров начальства выяснилось, что сайт вообще-то департамент заказал именитой конторе нашей страны за 5 млн. лт., а нашей достался только один. Нужно ли говорить, что нам с коллегой платилась только зарплата, не очень большая? :)
+4
предлагаю удвоить бюджет в 778 млн в связи с необходимостью закрыть столь существенные дыры и сложностью реализации данного патча!
+1
zakupki.gov.ru/pgz/documentform — Запрашиваемая страница не существует.
+3
Видимо там узнали что такое Хабрахабр, вот и закрыли.
+1
Видать кто-то таки отправил сертификат в формате .cer
+21
залатали дыру?
Запрашиваемая страница не существует.
+1
Нанодосками забили.
+5
Но перебором id еще можно получить док.
0
Зачем перебор. В гугле всё есть.
+1
Это очевидно, учитывая, что сайт специально создавался для того, чтобы публиковать октытую информацию. Документы в том числе. Соответственно да, документы можно скачать.
+2
Этот док никакой секретной информации не несет.
0
А персональную?
0
Ну, суть в том, что эти документы и так можно совершенно свободно скачать со страницы тендера. Пример:
Через форму расширенного поиска находим аукционы в электронной форме:
найти
Щелкаем по любому из них и открываем вкладку «Документы заказа» например вот zakupki.gov.ru/pgz/public/action/orders/info/order_document_list_info/show?notificationId=860009
Жмем на любую ссылку на документ, например в разделе «Разъяснения документации об аукционе в электронной форме» — «Разъяснение1» — при клике вызывается JS функция
код которой
PS: а если кликнуть по ссылке «Протокол 1267» в разделе «Протоколы работы комиссии» то попадем как раз на, теперь уже удаленную, страницу загрузки файла такую — так я собственно эту дырку и нашел случайно. Причем в GET параметре «showMessage» была еще и XSS
Через форму расширенного поиска находим аукционы в электронной форме:
найти
Щелкаем по любому из них и открываем вкладку «Документы заказа» например вот zakupki.gov.ru/pgz/public/action/orders/info/order_document_list_info/show?notificationId=860009
Жмем на любую ссылку на документ, например в разделе «Разъяснения документации об аукционе в электронной форме» — «Разъяснение1» — при клике вызывается JS функция
downloadDocument(33239755)
код которой
function downloadDocument(id){
window.open(appRoot + '/documentdownload?documentId=' + id,'');
}
PS: а если кликнуть по ссылке «Протокол 1267» в разделе «Протоколы работы комиссии» то попадем как раз на, теперь уже удаленную, страницу загрузки файла такую — так я собственно эту дырку и нашел случайно. Причем в GET параметре «showMessage» была еще и XSS
0
«Дверь мне запили...»
— Да запилю, запилю.
— Да запилю, запилю.
+1
фак, кончилась халява, не успев начаться…
0
За такие деньги можно несколько жилых домов построить поселить в них программистов, купить им компы, заплатить зарплату и они с нуля напишут тысячу таких сайтов.
А тут все сведется к известному:
— У нас есть 20 тысяч рублей и нам нужен сайт.
— Хорошо, а ничего если я работу буду совмещать с учебой…
и т.д.
А тут все сведется к известному:
— У нас есть 20 тысяч рублей и нам нужен сайт.
— Хорошо, а ничего если я работу буду совмещать с учебой…
и т.д.
+2
Есть уже ссылки на интересные новинки кино? Поделитесь.
0
UFO just landed and posted this here
zakupki.gov.ru/forum/forums/list.page
Powered by JForum 2.1.8 © JForum Team
www.exploit-db.com/exploits/13754/
топик продолжается :]
Powered by JForum 2.1.8 © JForum Team
www.exploit-db.com/exploits/13754/
топик продолжается :]
+2
Вообще-то там написано, что уязвимость действует только для форумов с установленным модулем закладок. Что заставляет Вас думать, что на форуме сайта госзакупок установлен этот модуль?
+1
Дырку на закачку закрыли, но файлы скачивать можно
+1
Залейте им там голых тёток, фотошоп и пару текстовых документов с лозунгами — пусть потом только попробуют до кого-то докопаться за хранение «неправильных» файлов )
-1
zakutube.gov.ru
+1
Эм… Все работает. Дыру еще не прикрыли.
0
А мне кажется, что прикрыли. (Во всяком случае, по адресу http://zakupki.gov.ru/pgz/documentform выдаётся ошибка 404, причём её страница не содержит форму закачки.)
+1
UFO just landed and posted this here
Ну там нужно немного ссылку подправить и все ок :)
zakupki.gov.ru/pgz/documentform/
zakupki.gov.ru/pgz/documentform/
+1
> 778 миллионов рублей на развитие портала zakupki.gov.ru
Ну видимо эти деньги пойдут на устранение данной уязвимости. Могу предложить лицам, ответственным за этот сайт, свои услуги разработчика и следовательно сэкономить для них немного денег (готов закрыть данную уязвимость миллионов за 50).
Ну видимо эти деньги пойдут на устранение данной уязвимости. Могу предложить лицам, ответственным за этот сайт, свои услуги разработчика и следовательно сэкономить для них немного денег (готов закрыть данную уязвимость миллионов за 50).
0
Мицгол — крыса. :(
-13
интересно, а залитого туда хрущева они догадаются удалить )) а может и еще чего народ успел. пока смотрю, не догадались :)
0
Да, наше правительство меня удивляет!
P.S. карма < 0
P.S. карма < 0
0
Как можно залить файл.
Переходим по ссылке zakupki.gov.ru/pgz/documentform/
Выбираем нужный файл и жмем «Прикрепить».
Потом сайт выбрасывает ошибку «Запрашиваемая страница не существует», здесь просто нужно вернуться на предыдущую страницу и нажать F5
В итоге увидим ссылку на наш залитый файл.
Переходим по ссылке zakupki.gov.ru/pgz/documentform/
Выбираем нужный файл и жмем «Прикрепить».
Потом сайт выбрасывает ошибку «Запрашиваемая страница не существует», здесь просто нужно вернуться на предыдущую страницу и нажать F5
В итоге увидим ссылку на наш залитый файл.
+2
Молодец.
0
Хорошая инструкция
а вот и ссылка на залитый файл картинки
«Трамвай в Лиссабоне»
zakupki.gov.ru/pgz/documentdownload?documentId=39543961&id=&idOld=&class=null&docType=&cid=&org.springframework.webflow.FlowExecutionKey=null
а вот и ссылка на залитый файл картинки
«Трамвай в Лиссабоне»
zakupki.gov.ru/pgz/documentdownload?documentId=39543961&id=&idOld=&class=null&docType=&cid=&org.springframework.webflow.FlowExecutionKey=null
0
0
0
0
сорри, сеть глючила, лишнее наотправлял :(
0
В адресе также много лишнего; достаточно указать documentId: http://zakupki.gov.ru/pgz/documentdownload?documentId=39543961
0
Sign up to leave a comment.
Используем правительственный сайт zakupki.gov.ru как средство бесплатного хостинга статических файлов