NFM 18 апр 2016 в 10:10

Открытый Server-status в Электронном правительстве Казахстана или как получить базу данных граждан

2 мин

19K

Информационная безопасность *

Из песочницы

+19

Комментарии 30

ExplosiveZ 18 апр 2016 в 10:50

Либо НЛО удалит, либо хабр может в бан попасть. В Казахстане не любят гласности.

evr1ka 18 апр 2016 в 11:06

Прошлая подобная статья потом оказалась в черновиках… )

NFM 18 апр 2016 в 11:48

прошлые две статьи оказались в черновиках из-за того, что в ней присутствовала реклама нас, за что мы очень сожалеем и больше так не будем =)
Первая была про раскрытие номера телефона через ЭП, вторая про уязвимость на портале Билайн Казахстан.

JIenpukoH 18 апр 2016 в 14:06

Я буду следить за этим! :D

evr1ka 18 апр 2016 в 14:46

) ОО. Про Билайн, это шикарно. Как-то решили вопрос? Могу помочь донести знание о уязвимости, если она была.
Хотя они что-то обновляли на днях, может и из-за этого.

NFM 18 апр 2016 в 16:13

там была проблема просто в том, что на oplata.beeline.kz при восстановление пароля высылался 4 значный код. Который брутился в 40 потоков меньше чем за 10 минут. Никакой защиты не было. После того как мы сообщили им они исправляли это около 2 недель. Кроме устной благодарности мы больше ничего не получили =)

evr1ka 18 апр 2016 в 16:16

) Да, я после своего коммента заглянул к вам на сайт, почитал.
Думаю, если вы ожидали чего-то более, то вы не правильно формулировали свое желание )
Вы только КазНет патрулируете?

NFM 18 апр 2016 в 16:37

В основном да, нашими услугами в Казнете пользуются финансовые структуры (Банки, крупные фин компании), но есть среди клиентов также несколько стартапов с России и Америки.

teecat 18 апр 2016 в 11:13

http://informburo.kz/novosti/kazahstancam-sovetuyut-obrashchatsya-v-mvd-i-knb-po-povodu-utechki-personalnyh-dannyh-advokat.html

В данном случае скорее наоборот — прошла раскрутка паники

Bo0oM 18 апр 2016 в 10:56

Один из самых банальных миссконфигов.
Интересно то, что вы рассказываете, как украли

более 50 000 документов (или около 10GB) граждан Республики Казахстан за недельный срок.

и не боитесь ответственности за это! =)

questor 18 апр 2016 в 11:05

Интересно то, что вы рассказываете, как украли

Говорится о потенциальной дырке, которую прикрыли. Были ли реальные кражи — не сообщается:

Одна «незначительная» деталь, которая может привести

который показал, что существовала возможность выкачать

Bo0oM 18 апр 2016 в 11:07

Но мы-то знаем ;)

Arik 18 апр 2016 в 11:49

Тогда ждем следующий пост автора об автоматизации анализа 50 тыс документов или около 10Gb данных =)

NFM 18 апр 2016 в 11:49

Счетчик показал возможность скачивать документы в предположительно таком объеме =)

Bo0oM 18 апр 2016 в 11:09

Если уж на сайте апача есть сервер-статус, что же говорить о других.
Да и вообще, зачем в 2016 apache? Но это уже другая история…

EminH 18 апр 2016 в 11:07

Это не мелочи, можно так и id сессии, например, перехватить и дальше будет еще хуже (если есть какая-либо админка на том же сервере)

DarkByte 18 апр 2016 в 11:14

Судя по apache.org — это норма :)

VANSCoder 18 апр 2016 в 21:14

Это не баг — это фича (с)

bormotov 18 апр 2016 в 13:39

только я считаю, что открытый server-status играет малозначительную роль?

equand 18 апр 2016 в 14:22

Тут больше проблема, в том что данные доступны по GET запросу :/

bormotov 18 апр 2016 в 14:50

в смысле, по GET запросу «со стороны».

Самое простое — кроме номера документа и ИНН в GET, просить куку, которую ставить после логина.
Чуть сложнее — отслеживать сессии. Сессии привязывать к IP-адресу клиента.
Сделать ограничение по времени актуальности ссылки

Люди, которые сейчас занимаются такого рода вещами в 100500 раз лучше меня расскажут, как можно сделать так, что бы зная GET-запрос, было очень сложно утащить контент.

И вот это реальная проблема, а не то, что кто-то смог посмотреть URL'и

SleepingLion 18 апр 2016 в 15:50

http://egov.kz/shepDownloadPdf?favorId(номер документа)&iin=(номер ИИН)

favorID. Не ServiceID. Favor. ID. Идентификатор одолжения. Всё.

А инкрементальные ID — классика, которая, кажется, никогда не переведётся и у нас будет ещё много утечек связанных с таким типом ошибок.

VANSCoder 18 апр 2016 в 21:17

Классика: попилили бюджет, а что осталось, то и выделили разработчикам.

Apokalepsis 20 апр 2016 в 15:57

Распил бюджетов в нашей стране к сожалению имеет быть.

Но никто же не заставлял под дулом пистолета брать заказ на сайт с маленьким бюджетом — нормальная компания должна же оценивать свои свои силы и возможности сделать за такой бюджет не какашку.

IbrahimKZ 19 апр 2016 в 06:24

А еще, когда ЭЦП выдают, то пароль ставят год рождения. Ну и еще куча уязвимостей при походе в наши ЦОНы (центр обслуживания населения) и при пользовании egov.kz

НЛО прилетело и опубликовало эту надпись здесь

aslan_im 20 апр 2016 в 15:57

Большинство стандартный пароль 123456 на эцп юзает. Если бы еще дата рождения

akaSStalkALEX 20 апр 2016 в 15:56

Хотелось бы в статье увидеть больше про Server-Status, что это такое, как делать надо, как не надо.

TOLK 20 апр 2016 в 15:58

Помнится когда только настраивался e-gov, мы c коллегой решили просто протестировать сайт, зашли и попали в админку IBM WebSphere, вместо стандартного пользовательского контента ) Было воскресенье, счетчик показывал двух пользователей, скорее всего сайтом только мы и интересовались )

andrejs 20 апр 2016 в 16:01

В Латвии точно таким же образом «хакер Нео» в 2009–2010 гг. скачал много налоговых деклараций и опубликовал выдержки данных о разных известных государственных людях. Подгорело массово и хорошо.

Одна из первых новостей на тему: rus.tvnet.lv/novosti/kriminal_i_chp/127398-proizoshla_utjechka_dannih_74_millionov_djeklaraciy

Зарегистрируйтесь на Хабре, чтобы оставить комментарий