„Се решив да ги проверам нашите македонски владини сајтови колку се безбедни и ранливи, па бидејки веќе подолго време никој ништо не превзема околу безбедноста на овие исклучиво важни сајтови решив да ги постирам, па можеби ќе ја поттикнам свеста кај администраторите.“ пишува darknessn1k0!a од Zero-One блогот за истражување на информатичка безбедност.
Сајтовите се пробиени со XSS (cross-site scripting) напад. Една од употребите на XSS нападот е да овозможи фишинг измами, односно да се украде корисничкото име или лозинката. Иако XSS нападот не е најсериознaта опасност, сепак ако еден сајт не е закрпен против ваков напад, тогаш да очекуваме дека се ранливи на посложените и посериозни техники?
Инаку, веќе некое време се чека креирање на CERT безбедносни тимови кои ќе се грижат за .gov.mk сајтовите. Таквите тимови се потребни бидејќи како што Македонија се движи кон е-Влада и користење на овие сервиси, истите ќе станат се почеста мета.
Еве ја листата на интересните .gov.mk сајтови постирана од Zero-One блогот:
- Mvr.gov.mk http://i51.tinypic.com/rjdzpv.png
- Economy.gov.mk http://i54.tinypic.com/2z65w7p.png
- Moepp.gov.mk http://i53.tinypic.com/2jcgh91.png
- http://www.sep.gov.mk/Default.aspx?ContentID=8′
- Finance.gov.mk http://i52.tinypic.com/9vgod0.png
- Mtc.gov.mk http://i52.tinypic.com/2j4cy11.png
- Ads.gov.mk http://i54.tinypic.com/vdem8k.png
- Customs.gov.mk http://i26.tinypic.com/2ic622x.png
- http://www.ohrid.gov.mk/index.asp?NovostiId=-63′
- Mtsp.gov.mk http://i52.tinypic.com/micg2q.png
- Avrm.gov.mk http://i53.tinypic.com/rk9fdh.png
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
Убаво е ова, барем им даваат дознаење дека се ранливи на напади и сл.
This is not a XSS or Fishind or other low rish this is FULL ROOT HACK !! http://www.facebook.com/notes/ethical-hacking-sol… http://www.facebook.com/notes/ethical-hacking-sol… http://www.facebook.com/notes/ethical-hacking-sol…
and.. about GOV servers there is also a FULL hacks ROOTED ;)
with all do respect
@badc0re, deface-от не е lame кога е со цел направен, односно кога се прави со цел да се пренесе одредена порака до посетителите, народот. Твоето мислење дека е lame е добиено поради деца кои го користат deface-от за да се пофалат што направиле, демек јаки хакери, ме сваќаш. Тоа може да се каже дека е lame, бидејќи нема никаква посебна причина, цел за да се направи тоа. ;)
btw добра ти е идејата. :D
Ako ne e lame togas sto e show off.
Баш ме интересира, што подразбираш под поимот lame? Нешто што секој може да го направи или што? Нешто многу noob-ски или? Ц ц ц… све хакери сте бе, уште малку lame ќе биде и ако во НАСА ако се влезе.
Чисто show off, пошо ме нервираат препуцавања од стилот којшто направил, си наогаш vulnerable и си крцкаш, ни продавање бардина ни ништо.
п.с секој труд се цени, затоа ќе си имаш едно веб страниче/блогче и ќе си објавиш што си направил и кој што сака ќе си прочита.
@Перо Лук, абе ти викам јас дека си читал нешто, но ништо не си разбрал. Ти пак се контраш. Можеби сум помал од тебе, но те возам како сакам. :*
Овие сајтовите што се набројани во статијава, поточно ранливите на XSS, сите тие се ранливи на Reflected или Non-persistent XSS. Тој примерот што јас ти го дадов, и тоа е Non-persistent XSS, додека пак тоа ти што го напиша во еден пост погоре, тоа беше пример за Persistent XSS.
Не е лошо да прочиташ малку околу овие поими, и која е нивната разлика и намена.
Доколку внесеш во browser:
javascript:alert("Ne mu zameruvajte na Pero, star e, mu se sushi mozokot");
нема ништо да штети, нормално. Но тој дел може да се замени со друг, многу поопасен.
Пример со код за редирект кон страна со малициозен код. И нема јас и ти самите да си внесуваме кодови во browser, туку XSS ранливоста на некоја страна се користи при phishing.
@w33D, мал си уште за да сватиш. Не е проблем, времето ти е сојузник, ако не излапавиш до тогаш :):). Инаку тоа што ти го викаш е исто како јас да ти речам напиши во browser следниов текст
javascript:alert("w33D poima nema ama mal e"); и ќе ти се појави порака кај тебе. И што зијан имаш од тоа….абре многу ме кошташ што се обидувам воопшто да ти објаснам, ама "све за омладину и отаџбину"… ајт доста е ;)
Мислам дека треба да направат еден ченеел за фешн на екплоити……deface of web pages is lame get over it.
@Перо Лук, не шири дезинформации кога се гледа дека немаш поим од тоа што го кажуваш. Многу плитко размислување имаш. Се гледа дека си читал нешто, но ништо не се разбрал. Тоа "нешто" се појавува само кај мене кога јас ќе го внесам во мојот browser. Но што ако јас ти пратам специјално креиран линк кој искористува XSS ранливост на некој сајт и ти кликнеш на тој линк? Кај мене ќе се изврши кодот или кај тебе? Еве линкот што е пејстиран на pastebin.com/***, внеси го кај тебе во browser и кажи ми дали ти или јас ќе добијам порака GTFO!
Не занм што ви е филмот, ама ова за мене е најбизарната статија во однос на сигурност на веб сајтови… дрн дрн јарина.
Алллооооо, XSS е ако успееш да инјектираш JS во сајтот на било кој начин кој ќе направи штета на системот и на другите корисници на него. Да посочам еден пример. Ако можеш овде во коментар да пишеш JS со document.location = 'http://badassoftheweek.com/'; и кога некој ќе сака да ја чита статиајата да го редиректира таму, тоа е едноставен (но не и еднинствен) пример за XSS. Ова што нешто се појавува само кај тебе, и сам на себе си правиш штета е само пример за "сам себе го убијал". Ова ми изгледа како да купувам ел. шпорет и раката свесно да ја ставам на загреаната рингла, и после да го тужам продавачот дека не е безбеден. Па шо к.. бараш да ја ставаш раката на ринглаата??? Ама ај, ќе ве оставам да созреете, па после сами на себе да си се смеете…поздрав
Дечки малку поопуштено, сите сме пријатели тука нема потреба од кавги. Zero Science Lab е само група од луѓе од цел свет што сакаат да работат со истражување на безбедност на информации, исто како дизајнерите кога креираат некоја уметност и земаат пари за тоа, што фали и ние да не наплаќаме за нашите услуги? Некогаш работиме за без пари, а некогаш за пари (кд ќе сакамо 2 гевречиња и јогурт). Зарем не сакате вашите омилени софтверски апликации да бидат побезбедни? Имаме удел во тоа и е за гордеење…така да all is good ;)
Иако делуваат загрижувачки на прв поглед, на ниту еден од screenshot-ите нема никаков напад на сајт. Содржината сменета на сајтот е видлива само за корисникот којшто ги прави ујдурмите, никаква соддржина на сајтот не е оштетена и ниеден друг корисник не . Во врска со cookie-то, отиди на било кој сајт и во address bar-от напиши: javascript:alert(document.cookie) и ке го добиеш истиот ефект.
На светлата страна на работите, ова исто значи дека ниеден закон не е прекршен. И сега наместо да ги прикажеме реалните недостатоци на истите сајтови (кои сигурно ги има мал милион), ние губиме време со лажни проблеми. Тоа е зијанот.
Pero Prov: ние губиме време со лажни проблеми.
Ti ima smisla muabetov koga ke zemes vo predvid deka vo centralniot del na sajtot imas tekst kako .gov.mk sajtovite se jako nebezbedni, a vednas do tekstot, na desnata strana, imas baner od zero science lab koj vodi do ponuda vo pdf format za nivnite uslugi.Plateni normalno.
Zero Science Lab се блиски соработници на IT.com.mk уште од стартување на порталот, пред 3 години. Без теории на заговор pls + овие резултати се објавени од Zero-One блогот. Две различни работи :)
Цитат…..ние губиме време со лажни проблеми. Тоа е зијанот.
Ма немој.
Глупости!!
Да знаев дека сајтот е Детска Радост going on Takedown никад немаше ни reply да стаам. Ама шо е тука е …
@Pero Prov, не е лошо да читнеш малку за XSS. И не само да читнеш, туку и да го разбереш тоа што го читаш. Ова биле лажни проблеми, тоа можеш на дете од 5 години да му го кажеш…
Коментаров ти е за номинација за Super Mega Giga Epic Fail на милениумот.
Од вакви тестови сите имаат само ќјар и никој нема зијан. Работата е само кој може да го запримети тоа. WhiteHats UP!
@Владо Ти слободно можеш малец да прочиташ за pentesting за ранливост и сл некој работи во слуајот ниту една страна не е "пробиена" како што стој во статијата внесен е само малициозен код кој го гледа само корисникот во неговата физичка меморија страните се само тестирани ништо тука нема незаконско впрочем сите денеска нудат разни скенери за тестирање впрочем и zeroscience labs е наменета за тоа значи не гледам тука нешто незаконско јас. @slavco blog добар е одговоро на виктор дека друг е комерцијален сај а друг е владин сајт што ако некој ја искористи оваа ранливост па да оди малце подлабоко nc -vv -l -p и го рутира цел сервер не знам можеби на то јсервер се и други владини сајтови па можеби таму е и твојата апликацја за работа или неко твои податоци значи треба да сме свесни за важноста на овие страни зато треба да имаат добра безбедност според мене. Поздрав darknessn1k0!a
p.s. Не користам ssh слободно можете trace на мојата ip
Razlikata e vo toa sto:
jas zero science lab mozam da gi platam za da mi go skeniraat serverot. Togas e legalno.
Koga zero science lab ke penetrira naokolu po sajtovi, ke vnesuva maliciozni kodovi, a so toa ke onevozmozi ili otezni koristenje na kompjuterski sistem, togas MVR treba da gi podbere i krivicno da odgovaraat za toa.
I normalno, dodeka se vo pritvor, da gi cistat zatvorskite toaleti od maliciozni kodovi.
Iako znam deka nikoj za nisto nema da odgovara i ke si prodolzime da si penetrirame eden na drug. Na sajtovi normalno.
Дај не ме зафркавај, тогаш ако беше така и за апликации до сеа сите ќе плачевте "Зошто ми пробиле во компјутерот?" :( Треба среќни да бидите што луѓето не наплаќаат за пропустите што ги пронаоѓаат. Најлошо е што не се цени трудот, а уште полошо е што не се благодарни за тоа што се пронаоѓаат пропустите за беспари. Ако толку се прајте паметни тогаш што треба да направат, да ги хакнат сите сајтови и тогаш да почнаат да плаќаат за пронаоѓање пропусти. А што ќе се случи ако ги продаваат еклплоитите на неписмени лица? Како тоа звучи…. малце себично а?
Кривичен Законик
Оштетување и неовластено навлегување во компјутерски систем
Член 251
(1) Тој што неовластено ќе избрише, измени, оштети, прикрие или на друг начин ќе на-прави неупотреблив компјутерски податок или програма или уред за одржување на информатичкиот систем или ќе го оневозможи или отежне користењето на компјутерски систем, податокот или програмата или на компјутерска комуникација,ќе се казни со парична казна или со затвор до три години.
Ова е само почетокот … не е лошо да си го прочитате до крај.
@badc0re http://mkdot.net/blogs/slavco/archive/2010/09/30/…
And…..
90% од светските сајтови дозволуваат js-инфилтрација… па дури и фејсбук и јутуб, незнам зошто се прави голема работа за ова, кога за фишинг има 1 000 001 начини, а јс инфилтрација не е никаква опасност за тоа…
за white-hat може само да му се фатат сите!
не само .gov сајтовите кажете еден портал во mkd што е безбеден ова што почетници почнаа да наоѓаат сигурносни пропусти во web апликации е само показател колку MKD компаниите имаат смисла за квалитетен производ / проект!
Сигурен си дека нема да те гонат и за ова white-hat хакирање?
Па не.
http://ipserver.skopje.gov.mk/names.nsf
Comments welcomed …
ОК, ја имаш базата… и?
не знам од кај ти е таа идеја. Повеќето од сајтовите се на Drupal.
пример: http://finance.gov.mk/CHANGELOG.txt
Па да.. .http://kajgana.com/robots.txt
pa tie 3 opcii se :) na drupal se novite starite se ili na bilderot ili na arhitektot primer Avrm.gov.mk
Spored testiranite sajtovi ispaga deka se testirani vo globala 2 resenija t.e. veb bilderot na neks sens i veb arhitekto na login sistemi. Mozebi ke ima rezultat ako tie se zagrizat poradi nebezbednosta na nivnite resenija.