NFM Apr 18 2016 at 13:10

Открытый Server-status в Электронном правительстве Казахстана или как получить базу данных граждан

2 min

18K

Information Security*

From sandbox

+20

Comments 30

ExplosiveZ Apr 18 2016 at 13:50

Либо НЛО удалит, либо хабр может в бан попасть. В Казахстане не любят гласности.

evr1ka Apr 18 2016 at 14:06

Прошлая подобная статья потом оказалась в черновиках… )

NFM Apr 18 2016 at 14:48

прошлые две статьи оказались в черновиках из-за того, что в ней присутствовала реклама нас, за что мы очень сожалеем и больше так не будем =)
Первая была про раскрытие номера телефона через ЭП, вторая про уязвимость на портале Билайн Казахстан.

JIenpukoH Apr 18 2016 at 17:06

Я буду следить за этим! :D

evr1ka Apr 18 2016 at 17:46

) ОО. Про Билайн, это шикарно. Как-то решили вопрос? Могу помочь донести знание о уязвимости, если она была.
Хотя они что-то обновляли на днях, может и из-за этого.

NFM Apr 18 2016 at 19:13

там была проблема просто в том, что на oplata.beeline.kz при восстановление пароля высылался 4 значный код. Который брутился в 40 потоков меньше чем за 10 минут. Никакой защиты не было. После того как мы сообщили им они исправляли это около 2 недель. Кроме устной благодарности мы больше ничего не получили =)

evr1ka Apr 18 2016 at 19:16

) Да, я после своего коммента заглянул к вам на сайт, почитал.
Думаю, если вы ожидали чего-то более, то вы не правильно формулировали свое желание )
Вы только КазНет патрулируете?

NFM Apr 18 2016 at 19:37

В основном да, нашими услугами в Казнете пользуются финансовые структуры (Банки, крупные фин компании), но есть среди клиентов также несколько стартапов с России и Америки.

teecat Apr 18 2016 at 14:13

http://informburo.kz/novosti/kazahstancam-sovetuyut-obrashchatsya-v-mvd-i-knb-po-povodu-utechki-personalnyh-dannyh-advokat.html

В данном случае скорее наоборот — прошла раскрутка паники

Bo0oM Apr 18 2016 at 13:56

Один из самых банальных миссконфигов.
Интересно то, что вы рассказываете, как украли

более 50 000 документов (или около 10GB) граждан Республики Казахстан за недельный срок.

и не боитесь ответственности за это! =)

questor Apr 18 2016 at 14:05

Интересно то, что вы рассказываете, как украли

Говорится о потенциальной дырке, которую прикрыли. Были ли реальные кражи — не сообщается:

Одна «незначительная» деталь, которая может привести

который показал, что существовала возможность выкачать

Bo0oM Apr 18 2016 at 14:07

Но мы-то знаем ;)

Arik Apr 18 2016 at 14:49

Тогда ждем следующий пост автора об автоматизации анализа 50 тыс документов или около 10Gb данных =)

NFM Apr 18 2016 at 14:49

Счетчик показал возможность скачивать документы в предположительно таком объеме =)

Bo0oM Apr 18 2016 at 14:09

Если уж на сайте апача есть сервер-статус, что же говорить о других.
Да и вообще, зачем в 2016 apache? Но это уже другая история…

EminH Apr 18 2016 at 14:07

Это не мелочи, можно так и id сессии, например, перехватить и дальше будет еще хуже (если есть какая-либо админка на том же сервере)

DarkByte Apr 18 2016 at 14:14

Судя по apache.org — это норма :)

VANSCoder Apr 19 2016 at 00:14

Это не баг — это фича (с)

bormotov Apr 18 2016 at 16:39

только я считаю, что открытый server-status играет малозначительную роль?

equand Apr 18 2016 at 17:22

Тут больше проблема, в том что данные доступны по GET запросу :/

bormotov Apr 18 2016 at 17:50

в смысле, по GET запросу «со стороны».

Самое простое — кроме номера документа и ИНН в GET, просить куку, которую ставить после логина.
Чуть сложнее — отслеживать сессии. Сессии привязывать к IP-адресу клиента.
Сделать ограничение по времени актуальности ссылки

Люди, которые сейчас занимаются такого рода вещами в 100500 раз лучше меня расскажут, как можно сделать так, что бы зная GET-запрос, было очень сложно утащить контент.

И вот это реальная проблема, а не то, что кто-то смог посмотреть URL'и

SleepingLion Apr 18 2016 at 18:50

http://egov.kz/shepDownloadPdf?favorId(номер документа)&iin=(номер ИИН)

favorID. Не ServiceID. Favor. ID. Идентификатор одолжения. Всё.

А инкрементальные ID — классика, которая, кажется, никогда не переведётся и у нас будет ещё много утечек связанных с таким типом ошибок.

VANSCoder Apr 19 2016 at 00:17

Классика: попилили бюджет, а что осталось, то и выделили разработчикам.

Apokalepsis Apr 20 2016 at 18:57

Распил бюджетов в нашей стране к сожалению имеет быть.

Но никто же не заставлял под дулом пистолета брать заказ на сайт с маленьким бюджетом — нормальная компания должна же оценивать свои свои силы и возможности сделать за такой бюджет не какашку.

IbrahimKZ Apr 19 2016 at 09:24

А еще, когда ЭЦП выдают, то пароль ставят год рождения. Ну и еще куча уязвимостей при походе в наши ЦОНы (центр обслуживания населения) и при пользовании egov.kz

UFO just landed and posted this here

aslan_im Apr 20 2016 at 18:57

Большинство стандартный пароль 123456 на эцп юзает. Если бы еще дата рождения

akaSStalkALEX Apr 20 2016 at 18:56

Хотелось бы в статье увидеть больше про Server-Status, что это такое, как делать надо, как не надо.

TOLK Apr 20 2016 at 18:58

Помнится когда только настраивался e-gov, мы c коллегой решили просто протестировать сайт, зашли и попали в админку IBM WebSphere, вместо стандартного пользовательского контента ) Было воскресенье, счетчик показывал двух пользователей, скорее всего сайтом только мы и интересовались )

andrejs Apr 20 2016 at 19:01

В Латвии точно таким же образом «хакер Нео» в 2009–2010 гг. скачал много налоговых деклараций и опубликовал выдержки данных о разных известных государственных людях. Подгорело массово и хорошо.

Одна из первых новостей на тему: rus.tvnet.lv/novosti/kriminal_i_chp/127398-proizoshla_utjechka_dannih_74_millionov_djeklaraciy