День начался как и все остальные ничем не приметные дни. Придя на работу и выпив чашечку капучино от китайской кофе машины сел шерстить сайты. Вот напоровшись на одного из них, долго изучая исходный код наткнулся на разметку, характерную для широко известного WYSIWYG редактора — FCK. Кто хоть раз сталкивался с проблемами подобного рода редакторов наверняка хорошо его знают.

Собственно сам продукт ничем по себе не интересен и полезен только администраторам сайта, т.к. позволяет редактировать наглядно страницы на сайте. Но меня он заинтересовал с точки зрения — на сколько безопасно его внедрение в CMS, особенно в связи с тем что он обладает набором функционала по UPLOAD'у картинок на сайты.

И о чудо, разработчики CMS на ровном месте совершили сразу несколько критических ошибок, сразу предоставив доступ к выполнению исходного кода на сайте!

Итак, что они же натворили?

Снова недоступен белорусский дата центр. По информации от хостинг провайдера, у которого мы покупаем выделенный сервак — проблема с каналом белорусского ДЦ.
В лучших традициях ждем завтра статью на белорусских ИТ порталах с заголовками «Опять Белтелеком оставил Беларусь без Байнета» и комментарии Белтелекома в духе «Ничего не знаем — сами козлы».
И вроде все бы и ничего, если бы не нашумевший в прошлом году указ номер 60, корорый практически ограничивает площадки для хостинга границами РБ. А внутри границ РБ как известно монополия Белтелекома.
Вот как выглядит сейчас мой traceroute 93.125.30.35 (к серверу внутри Быдло — Датацентра)
traceroute to 93.125.30.35, 30 hops max, 60 byte packets
1 gw1.core.aichyna.com (213.184.232.193) 0.530 ms 0.564 ms 0.616 ms
2 * * *
3 * * *
…

P.s. Даже сайты Белтелекома и недоДатаЦентра недоступны.

Навеяно последними событиями, связанными с проблемой конфиденциальности личных данных в Мегафон, МТБанк и так далее ну и собственно вопросом habrahabr.ru/qa/10352

В последнее время тщательно слежу за тем что происходит в интернете в плане безопасности данных и порой становится страшно, что занося какие либо данные в любой из органов, банков — твоя информация может стать доступна широкой аудитории Интернет пользователей. Более того моя текущая работа связанна с аудитом сайтов и веб систем на предмет наличия возможных уязвимостей, в первую очередь даже не программных (хотя именно это любимая часть и кландайк для злодеев) но и логических — и могу авторитетно заявить что большинство сайтов, проходящих через меня имеют критические или серьезные проблемы. А через меня проходят Web приложения крупных организаций, имена которых у всех на слуху.

Долгие вечера сидя за чашкой кофия, и разбирая и описывая очередную уязвимость на сайте я чаще ловил себя на мысли, что мир мог бы быть защищенней, безопасней, чище если бы…