Как стать автором
Поиск
Написать публикацию
Обновить

Безопасность сайта Умного голосования

Время на прочтение2 мин
Количество просмотров57K
Блог компании ITSOFTИнформационная безопасность*DevOps*

Мы ни на секунду не забываем про вопросы информационной безопасности и не относимся к ним пренебрежительно. ​ Леонид Волков

Первая часть вышла более двух месяцев назад. После второй с сайта убрали Яндекс.Метрику, правда не без говна длинного ответа про «доморощенных экспертов по информационной безопасности и шапочки из фольги». Может после третьей приведут инфраструктуру в порядок.

Сайт Умного Голосования использует API по адресу https://votesmart.appspot.com/api/v1/fiasco

у которого не выключен режим отладки, благодаря чему мы видим ироничный адрес бекэнда http://fiasco.navalny-team.org и список маршрутов.

Помимо возможности листинга директорий на сервере протух SSL-сертификат, но это уж точно не имеет значения: запросы туда и так идут по HTTP.

Берем адрес https://fiasco.navalny-team.org/address/suggest/ из списка маршрутов и получаем ошибку c traceback-ом и настройками сервера.

К слову последняя версия Django - 3.2.6, а под используемую на сайте 2.2.8 есть CVE. Видим настройки подключения к базам данных:

База данных доступна для внешних подключений на порту 5432 для пользователя test. Это PostgreSQL 10.11 (Debian 10.11-1.pgdg90+1).

Судя по таблице cmd_exec с полем cmd_output кто-то уже использовал её для выполнения системных команд. Благо в Metasploit для этого даже есть модуль. Дальше мы можем оказаться внутри контейнера. Информацию по всем контейнерам нам заботливо оставили тут: http://fiasco.navalny-team.org:8888/docker/.

И даже чуть больше тут: http://fiasco.navalny-team.org:9100/metrics

Правда релиз используемой версии был в 2019 году, потому могут сработать многие методики по повышению привилегий и получению контроля за всей системой.

На этом шаге хочется остановиться, ведь не стоит цель навредить, скорее проанализировать, изменилось ли что-нибудь за два прошедших месяца, и обратить внимание на проблемы, которые видны невооруженным глазом.

Мы всегда читаем и слушаем все, что нам пишут, признаем ошибки и стараемся работать лучше. ​ Леонид Волков

Вместо заключения хочется оставить цитату Алексея Пивоварова:
«Выводы делайте сами».

Теги:
Хабы:
Всего голосов 182: ↑147 и ↓35+159
Комментарии561
36
Карма
0
Рейтинг
Александр @2naive

Пользователь

Отправить сообщение

Публикации

Истории

Работа

DevOps инженер
41 вакансия
Специалист по информационной безопасности
96 вакансий

Ближайшие события

8 октября – 4 декабря
ТурбоХакатон «Решения для электроэнергетики на базе искусственного интеллекта»
Онлайн
Больше событий в календаре
Разработка
Другое
6 ноября
Тест-драйв Хабра для компаний
Москва
Больше событий в календаре
Менеджмент
Маркетинг
Другое
7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
Больше событий в календаре
Разработка
Менеджмент
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
Больше событий в календаре
Маркетинг
Аналитика
14 ноября
Конференция «ViRush 2024: BigData, ИИ и новые практики работы с BI»
Москва
Больше событий в календаре
Разработка
Аналитика
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
Больше событий в календаре
Разработка
Маркетинг
Другое
20 ноября
Конференция InterComm «Рождение Титанов»
Москва
Больше событий в календаре
Менеджмент
Другое
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
Больше событий в календаре
Разработка
Другое
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
Больше событий в календаре
Менеджмент
Другое
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань
Больше событий в календаре
Разработка
Маркетинг
Другое

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr