Pull to refresh

Используем правительственный сайт zakupki.gov.ru как средство бесплатного хостинга статических файлов

Information Security *
Tutorial
Важная преамбула: нижеописанная страница, допускающая закачку файлов на сайт zakupki.gov.ru без авторизации, была устранена менее чем через 2 часа после публикации этой блогозаписи на Хабрахабре. Блогозапись сохраню, однако же, для истории, тем более что в комментариях Stigmated выложил альтернативный (действующий) способ закачки.
Как стало известно вчера от Навального, Федеральное казначейство РФ умышляет потратить ещё 778 миллионов рублей на развитие портала zakupki.gov.ru, куда ужé зафигачили более 360 миллионов рублей.

Спрашивается: есть ли какая-нибудь непосредственная отдача для народа от этих колоссальных расходуемых средств? Да умолкнут клеветники! В своей неизречённой милости правительство устроило на этом сайте доступный хостинг статических файлов — или же, что вернее, исполнители оставили незакрытою небольшую дыру, позволяющую без какой-либо авторизации зайти по адресу http://zakupki.gov.ru/pgz/documentform и заливать оттуда на сайт разного рода статические файлы.

(Я пишу «небольшую дыру», так как PHP-файл загрузить и затем исполнить всё же не выйдет — однако хостинг картинок всё же устроить можно, например.)

Обратите внимание на адрес нижеследующей иллюстрации, сегодня утром туда залитой:

[Если эта иллюстрация грузится с ошибкою — значит, вышеописанную проблему, возможно, закрыли.]

Адрес её (http://zakupki.gov.ru/pgz/documentdownload?documentId=39240775) позволяет цинично предполагать, что все документы, когда-либо залитые на сайт госзакупок, досягаемы прямым перебором номеров их.

В заключение благодарю seriyPS за любезно предоставленную тему блогозаписи, а читателям спасибо за внимание.
Tags:
Hubs:
Total votes 172: ↑157 and ↓15 +142
Views 14K
Comments Comments 127