Показать сообщение отдельно
27.03.2010, 15:21   #1
Петренко
Турист
 
Аватар для Петренко
 

: 12.01.2008
: Шепетовка
: 47
: 31
Вес репутации: 0 Петренко на шляху до кращого
Сайт министерства образования и науки Украины взломали!

В российском журнале "Хакер" опубликовали статью, в которой один хакер рассказывает о том как он взломал сайт http://www.mon.gov.ua/

Вот что он пишет:

"В последнее время все чаще попадаются уязвимые государственные сайты. А причина банальна: сайты даже такого уровня поручают писать непрофессионалам, за состоянием сайта не следят, саппорт емейл не проверяет. Аудит безопасности считают роскошью, хотя на самом деле это необходимость!"
Дальше он рассказывает что сподвигло его на взлом сайта:
"Смысл этого взлома не нажива или выгода с залитого шелла(кто не знает, это специальная программа которая заливается на сайт и потом хакер через нее заходит туда в любое время как к себе домой, то есть имеет полный доступ ко всей информации сайта, да и изменить ее сможет как захочет). Хочется показать, насколько бывают уязвимы сайты высочайшего уровня. Казалось бы, защита их должна быть на первом месте, ведь не трудно представить, что за собой влечет взлом государственного сайта. Что если проникнуть в локальную сеть и получить доступ к компьютерам, на которых хранится информация, например, о внешнем независимом тестировании (в случае сайта МОН Украины)? Что тогда? Возможно, будет под вопросом подлинность сертификатов, которые требует каждое высшее учебное заведение? Поспешу успокоить: делать я этого не стал, а обо всех ошибках сообщил на электронный адрес поддержки сайта."

Дальше хакер нашел на сайте пару уязвимостей. Одна из них: http://www.mon.gov.ua/main.php?query=main.php%00 - заинклудил уязвимый файл. В результате, страничка начала выводиться бесконечное количество раз, образуя пирамидку. Это свидетельствует о том, что уязвимость существует (кстати, эту ошибку до сих пор не устранили на сайте!).Таким запросом можно запросто "уложить" сайт. Дальше он выполнил запрос через браузерную строку (приводить его не буду). В запросе был код шелла. Выдало 403-ю ошибку и код занесся в файл с логами ошибок. Спокойно залил шелл и зашел на него. Просмотрел листинг файлов сайта и нашел 2 пустых файла с названиями error.php и error. (Прекрасная возможность спрятать шелл). Туда он и вставил код шелла.

Подведем итоги. Служба поддержки указанного сайта половину ошибок устранила (почему не все?). И сейчас при большом желании можно зайти и выставить себе количество баллов за тесты - сколько захочешь! Можно вообще тесты не сдавать - добавить себя в базу на сайте и потом получить сертификат.
Так что действительно, правильно ли то, что выпускники школ сдают тесты? Может все-таки вернуться к экзаменам? Вроде хорошое дело задумали (справедливое оценивание знаний выпускников), а сайт , на котором находится вся информация - решето. Может это так надо? (Кому-то...)
__________________
Обмен Webmoney