![](https://habrastorage.org/getpro/habr/upload_files/8bf/620/66e/8bf62066ef1100e2ec543feb9b6d4c33.png)
Мы ни на секунду не забываем про вопросы информационной безопасности и не относимся к ним пренебрежительно. Леонид Волков
Первая часть вышла более двух месяцев назад. После второй с сайта убрали Яндекс.Метрику, правда не без говна длинного ответа про «доморощенных экспертов по информационной безопасности и шапочки из фольги». Может после третьей приведут инфраструктуру в порядок.
Сайт Умного Голосования использует API по адресу https://votesmart.appspot.com/api/v1/fiasco
![](https://habrastorage.org/getpro/habr/upload_files/7de/1ea/51c/7de1ea51c91b3b13f1cd856757a64365.png)
у которого не выключен режим отладки, благодаря чему мы видим ироничный адрес бекэнда http://fiasco.navalny-team.org и список маршрутов.
![](https://habrastorage.org/getpro/habr/upload_files/b1e/e39/629/b1ee39629d5237fd1829152d4dd0a680.png)
Помимо возможности листинга директорий на сервере протух SSL-сертификат, но это уж точно не имеет значения: запросы туда и так идут по HTTP.
![](https://habrastorage.org/getpro/habr/upload_files/7d9/c4e/dae/7d9c4edae22311a3ddb848494a2b1a45.png)
Берем адрес https://fiasco.navalny-team.org/address/suggest/ из списка маршрутов и получаем ошибку c traceback-ом и настройками сервера.
![](https://habrastorage.org/getpro/habr/upload_files/9e6/d46/adb/9e6d46adb9129fbd926e376619061142.png)
К слову последняя версия Django - 3.2.6, а под используемую на сайте 2.2.8 есть CVE. Видим настройки подключения к базам данных:
![](https://habrastorage.org/getpro/habr/upload_files/14f/309/5d7/14f3095d77c6c4698df8ef902314b835.png)
База данных доступна для внешних подключений на порту 5432 для пользователя test. Это PostgreSQL 10.11 (Debian 10.11-1.pgdg90+1).
![](https://habrastorage.org/getpro/habr/upload_files/d90/2d7/fef/d902d7fef550e19f1ab46c7c97ab06e0.png)
Судя по таблице cmd_exec с полем cmd_output кто-то уже использовал её для выполнения системных команд. Благо в Metasploit для этого даже есть модуль. Дальше мы можем оказаться внутри контейнера. Информацию по всем контейнерам нам заботливо оставили тут: http://fiasco.navalny-team.org:8888/docker/.
![](https://habrastorage.org/getpro/habr/upload_files/955/1d4/0be/9551d40be1dae9bc43acd9f32752600f.png)
И даже чуть больше тут: http://fiasco.navalny-team.org:9100/metrics
![](https://habrastorage.org/getpro/habr/upload_files/542/e58/ad3/542e58ad34ea7f7a80087b482eaae1f9.png)
Правда релиз используемой версии был в 2019 году, потому могут сработать многие методики по повышению привилегий и получению контроля за всей системой.
На этом шаге хочется остановиться, ведь не стоит цель навредить, скорее проанализировать, изменилось ли что-нибудь за два прошедших месяца, и обратить внимание на проблемы, которые видны невооруженным глазом.
Мы всегда читаем и слушаем все, что нам пишут, признаем ошибки и стараемся работать лучше. Леонид Волков
Вместо заключения хочется оставить цитату Алексея Пивоварова:
«Выводы делайте сами».