Comments 44
Извините, не удержался :)
У меня он вообще не открывается, хотя в кэше гугла присутствует.
очевидно же он проверяет http, а не https сайты. sokol-online.com/ — проверил нормально.
Это Вы ещё на localhost не ходили к ним ;)
На самом деле пост видели в Почте. Да и ребята из этой сокол-секьрити сильно лукавят
1. Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.
2. Выкладывать в паблик полные запросы на не закрытые уязвимости — это нарушение первой заповеди белого хакинга. Если уж хотели показать что-то, то надо выкладывать было без самих запросов, а только скрины с купюренными ответами.
3. Переодически компании проводят тендеры по аудиту ИТ безопасности, и почтаРФ не исключение. Если уж такие они хорошие — чего б в тендер не сунутся?
1. Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.
2. Выкладывать в паблик полные запросы на не закрытые уязвимости — это нарушение первой заповеди белого хакинга. Если уж хотели показать что-то, то надо выкладывать было без самих запросов, а только скрины с купюренными ответами.
3. Переодически компании проводят тендеры по аудиту ИТ безопасности, и почтаРФ не исключение. Если уж такие они хорошие — чего б в тендер не сунутся?
Да, мне тоже только что сообщили, что Почта это видела, а на ребят уже завели уголовное дело.
По пункту 1: Смысл тогда писать об этом? Я так понял, что там не юр.лицо, а некая группа единомышленников. В общем х/з, конечно.
По пункту 2: Готовых запросов там нет, есть только безобидные запросы.
По пункту 3: Это ж надо ждать. Кроме того, если почта это делает через госзакупки, то это ужасный геморрой для неподготовленного человека.
По пункту 1: Смысл тогда писать об этом? Я так понял, что там не юр.лицо, а некая группа единомышленников. В общем х/з, конечно.
По пункту 2: Готовых запросов там нет, есть только безобидные запросы.
По пункту 3: Это ж надо ждать. Кроме того, если почта это делает через госзакупки, то это ужасный геморрой для неподготовленного человека.
1. На первоначальной версии сайта были реквизиты юр. лица. Сейчас похоже затерли.
2. Есть готовые sql inj запросы. На момент поста в жж — они работали. А уж домыслить что вместо слипа в запрос вставить — не много ума надо.
3. Ну если хотят вести бизнес — то геморрой будет в любом случае.
2. Есть готовые sql inj запросы. На момент поста в жж — они работали. А уж домыслить что вместо слипа в запрос вставить — не много ума надо.
3. Ну если хотят вести бизнес — то геморрой будет в любом случае.
По пункту 1: Смысл тогда писать об этом?Попиариться.
А где же продолжение истории?
Что за ребята, точно ли завели дело и т.д.
P.S. На первый взгляд эти «ребята» — обычное школиё, случайно наткнувшееся на SQL Injection
Что за ребята, точно ли завели дело и т.д.
P.S. На первый взгляд эти «ребята» — обычное школиё, случайно наткнувшееся на SQL Injection
Интересно, а какая компания проводит им «аудиты»?
Если про 29 уязвимость это правда. Причем какие то детские уязвимости, то лучше с такой компанией вовсе дел не иметь.
Подозреваю, что это не мастодонты типа PT, а ООО Рога и Копыта под экономику РОЗ.
Если про 29 уязвимость это правда. Причем какие то детские уязвимости, то лучше с такой компанией вовсе дел не иметь.
Подозреваю, что это не мастодонты типа PT, а ООО Рога и Копыта под экономику РОЗ.
«Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.»
Про безопасность не могу утверждать, но по техническим вопросам — проблема.
В ОПС мы обнаружили баг с расчетом стоимости посылки, написали письмо — все как полагается. И особо отметили, что операционисты не виноваты — это именно програмный баг. И что вы думаете? Через некоторое время лишили премии операционистов, баг исправили. Вместо виновных пострадали крайние.
Про безопасность не могу утверждать, но по техническим вопросам — проблема.
В ОПС мы обнаружили баг с расчетом стоимости посылки, написали письмо — все как полагается. И особо отметили, что операционисты не виноваты — это именно програмный баг. И что вы думаете? Через некоторое время лишили премии операционистов, баг исправили. Вместо виновных пострадали крайние.
Какое это имеет отношение к криптографии (в смысле, зачем оно в этом хабе)?
Пожалуй вы правы, убрал. Изначально добавил, потому что речь шла о корневом сертификате.
О да, не закрытый индекс директорий апача на сайте компании по ИТ безопасности — это круто. )
Скрин
Это не обязательно не закрытый индекс директорий апача, в ответ на запрос, сервер может выдавать все что угодно. Или же апач тут как риверс прокси. Да и что-то тут закрывать, тут же статичный хтмл, который делал школьник между уроками. Все страницы типа: sokol-online.com/?page=-1# тупо сделаны вручную, ведь у него была задача: «Отвесим столько деревянных сколько будет весить наш сайт».
панель закладок хороша )
спасибо хоть капчу рандомную стали выдавать на трекинге
На это убожество, по-моему, даже уголовное дело заводить не надо.
Верстка сайта, например
В принципе неудивительно, да и с технической точки зрения никто не застрахован от уязвимости. Хотя возможно, мои выводы основаны на комплексной работе нашей почты.
Что меня тронуло и заставило запостить это на Хабр, так это не факт наличия дырок и не то, что речь о Почте РФ, а то, что эту информацию в Почте РФ, похоже, никто и слышать не хочет.
Зная как иногда работают наши почтовые службы, меня это не сильно удивляет.
-У вас тут в бланке опечатка.
-Вот те уголовное дело на вас.
-Вот те уголовное дело на вас.
У меня? В каком бланке, можете пояснить или Вы ошиблись?
Dal просто продолжил вашу мысль.
Небольшая сценка по мотивам информации из комментариев.
Мужчина, вы что, не видите? У нас обед.
Как связаться с Соколом? У них нет email'а :(
Хотел бы отрепортить несколько уязвимостей, 2 из них с высоким уровнем риска.
Хотел бы отрепортить несколько уязвимостей, 2 из них с высоким уровнем риска.
Уголовное дело это чудесно. Копании с мировым именем привлекают исследователей со всего мира и платят денежные вознаграждения за поиск дыр. А у нас дела заводят.
Что-ж, иностранной кибер разведке это только в радость. Не удивлюсь, что там уже давно копаются «заинтересованные лица» за проксями из Зимбабве.
А потом шалтаи-болтаи «совершенно случайно» находят интересные массивы информации.
Что-ж, иностранной кибер разведке это только в радость. Не удивлюсь, что там уже давно копаются «заинтересованные лица» за проксями из Зимбабве.
А потом шалтаи-болтаи «совершенно случайно» находят интересные массивы информации.
Немудрено, с таким-то related
Да чего там онлайн-инъекции, вот вам оффлайн пример:
Внутренними нормативными документами ПР предусмотрена выдача заказного письма с пометкой «судебное» любому, кто прописан по этому адресу. Что в случае развода супругов например может доставить неплохой геморрой (например неполучение уведомления о судебном заседании).
Ой, в домофон звонят, пойду открою, сейчас вернусь.
Внутренними нормативными документами ПР предусмотрена выдача заказного письма с пометкой «судебное» любому, кто прописан по этому адресу. Что в случае развода супругов например может доставить неплохой геморрой (например неполучение уведомления о судебном заседании).
Ой, в домофон звонят, пойду открою, сейчас вернусь.
А вам давно последний раз почтальон вручал заказные письма? Мне всегда оставляют только уведомление, а письмо я получаю в отделении с предъявлением паспорта.
Касательно, внутренних инструкций — какое это отношение имеет к законам?
Касательно, внутренних инструкций — какое это отношение имеет к законам?
Да ладно, мои иностранные посылки соседям с других улиц относят и выдают, несмотря на несоответствие данных на почтовом лейбле и в паспорте.
Sign up to leave a comment.
Почта РФ кишит уязвимостями