Колку се безбедни .mk сајтовите? v1.0

Целта на експериментот е да се провери степенот на безбедност на сајтовите на институциите. Веќе е најавено дека се работи на е-Влада, најавено е дека сета администрација ќе биде со една единствена дата база, најавени се веб сервиси за граѓаните да можат да се регистрираат, поднесат информации…

sobranie.mk

Експериментот е мотивиран од потребата да имаме функционални, но пред се безбедни сервиси кои ќе се грижат за приватност на личните податоци.

Ранливоста на која ги тестиравме сајтовите е XSS напад, односно Cross-site scripting ранливост која може да се предизвика во search bar-от со неколку комбинации на стрингови како на пример: “><script>alert(document.cookie)</script> и други, кои со помош на phishing напад може да се дојде до доверливи информации како и навлегување во системот. Мора да се напомене дека XSS ранливост имаат околу 80% од сајтовите низ светот, според Wikipedia.

Но… тоа не е оправдување важни институции и владини сајтови да бидат незаштитени.

customs.gov.mk

Во експериментот се тестираа десетина сајтови по случаен избор, од кои приватните сајтови нема да бидат објавени, но затоа ќе ги објавиме доказите за грешките на .gov.mk сајтови, како и сајтови на високо образовни институции. Пред објавување на текстот, сите десетина приватни и сајтови на институции на кои беше направен експериментот беа претходно предупредени за ранливоста и им беше пратено решение како да се закрпи ранливоста. Повеќето сајтови реагираа и ја поправија грешката.

Со оваа ранливост, жртвата може да биде измамена со наизглед дадена легитимна врска (нормално прикриена со различни видови на енкодинг или скратување, пример, HEX, URL, 0.mk) која го вклучува нападот додека напаѓачот ги чека информациите на неговиот опслужувач.

kzk.gov.mk

Инјектирање на phishing скрипта, iframe phishing, phishing со преусмерување и крадење на cookies (колачиња) се само неколкуте техники кои можеме да се искористат преку XSS нападот.

Пример:

(креиран log.txt податок во серверот на напаѓачот, chmod 777 на двата фајла)

И така натаму..

Доказ на Концепт (PoC): http://www.eurm.edu.mk/?L=%22%3E%3Cscript%3Ealert%28%22Zero%20Science%20Lab%22%29%3C/script%3E

Оваа слабост или закана можете да ја закрпите со неколку функции кои користат избегнување на специјални карактери зависно од платформата:

eurm.edu.mk

feit.ukim.edu.mk

pf.ukim.edu.mk

Референци:

Добивај известувања
Извести ме за
guest
38 Коментари
Најнови
Најстари Со највеќе гласови
Inline Feedbacks
View all comments
darko
darko
11 years ago

Ова што го правите вие е казниво со закон.
Секое неовалстено скенирање со цел да се дојде до ранловост на сајтот, па уште тоа да се објавува јавно е казниво со закон.
Во македонија постои тој закон.
(Замислете ова да го правите во реалниот свет, да земете калауси и да застанете пред некоја банка и да ја проверувате вратата од банката дали е добро направена т.е дали има ранловости односно дали може да се отвори со некаков калаус и да го објавите типот на калаусот јавно. Па ќе ве фрлат одма позади решетки)

Значи истото важи и за софтвер. Дури и доколку тоа е побарано од вас – да испитате безбедност на системот, дури ни во тој случај ранливостите не смеат да се објавуваат јавно.

Провесионалци не смеат да си дозволат да не ги познаваат законите што владеат во државата и да работат против нив!

@ViktrArs
11 years ago
Reply to  darko

Ja разбирам твоајта грижа. Но кога зборуваш за „професионалци“ мислиш на нас или мислиш на владини и високи образовни институции?

Како што пишав и во текстот, нашата намера е да ги покажеме грешките, и како што прават сите професионалци, така пред да го објавиме текстот ги информираме и им пратиме решение како да го средат проблемот.

Ако ти сакаш да им веруваш слепо и да им даваш податоци кои можат да се злоупотребат, тогаш слободно. Јас сакам да сум безбеден.

darko
darko
11 years ago
Reply to  @ViktrArs

Не знам дали ме разбравте правилно.

Ако сакате вие да работите професионално тогаш мора да ги почитувате законите што владеат во државата. (Не зборувам какви провесионалци се владините институции.). Бидејци вие го пишувате овој текст морам да потенцирам дека начинот е неправилен.

Навистина убаво од ваша страна што сте ги информирале и сте им пратиле решение.

Вашата намера да ги покажете грешките на тој начин е противзаконска!
Ве молам ако не ми верувате мене консултирајте правник за Кривичниот закон.

Значи во вашата работа мора да ги исполнувате и правните нормативи.

Dame Jovanoski
11 years ago

Мислам дека 90% од луѓето што ја прочитаја темава не сватија за што всушност се однесува.

apo
apo
11 years ago

h4x0rs

@liquidworm
11 years ago
Reply to  apo

uweeeeeepa :)

Dame Jovanoski
11 years ago
Reply to  @liquidworm

t00t xD

@MartinMarkovski
11 years ago
Reply to  Dame Jovanoski

w00t!

adsadsa
adsadsa
11 years ago
Reply to  apo

evul!

Dame Jovanoski
11 years ago

FAIL за коментарите мислев не за темата :D

Baska
Baska
11 years ago

SQLversion: Microsoft SQL Server 2005 – 9.00.4053.00 (X64) May 26 2009 14:13:01 Copyright (c) 1988-2005
Microsoft Corporation Standard Edition (64-bit) on Windows NT 5.2 (Build 3790: Service Pack 2)

Command: ****** Baska, ти го едитирам коментарот бидејќи се работи за серозен сајт со сериозни информации. Причината е безбедност пред се, бидејќи во коментарот имаш податоци кои можат да се злоупотребат. Од друга страна не сакаме, верувам и ти, проблеми со правото, бидејќи хакирањето и пробивањето информации е криминал. Srry :( Но…не го бришам коментарот бидејќи демонстрира пропусти на важен владин сајт. (Виктор)

Login pagehttp://www.president.gov.mk/admin/
За дечково погоре е постов деак сум сериозен

Александар Тасевски
Александар Тасевски
11 years ago
Reply to  Baska

Коментарот се однесуваше на тоа дека password во MD5 лесно се декриптира назад.

Dame Jovanoski
11 years ago

Не знаев дека МД5 се декриптира.

@macstr1k3r
11 years ago

До господата погоре што се правеа паметни.

Незнам која ви е поентата на сево ова, уреду ги напишавте коментарите испаднавте глупи и… Како размислувате воопшто не ми е јасно.. ако напишете коментар кој што нема никаква врска со постото ке добиете нешто?? Доколку сакате да се правите паметни пишувајте со вашето име, псеудоним под кој сте познаети а не да се криете под имиња како асдса…

@ViktrArs
11 years ago
Reply to  @macstr1k3r

"Доколку сакате да се правите паметни пишувајте со вашето име, псеудоним под кој сте познаети а не да се криете под имиња како асдса… "

Секој си има право на анонимност, без врска на псевдонимот секое мислење е ценето :)

DAme
DAme
11 years ago

За сите којшто заминале офтопик со темите. Значи неможам да зборувам во името на Zero Science Lab но едниствено можам да кажам дека оваа тема е отворена со цел да се подобро заштитата на македонските веб сајтови, а не да се покаже кој колку може и што може.

п.с и за да се подобри свеста кај тие што кодираат, малце повеќе да обрнат внимание и на безбедноста.

Филип
Филип
11 years ago

Врв во целото истражување е хакнувањето на ФЕИТ. Закон! :)

Stefan Petrusevski
11 years ago

obozhavam komentari koga ne se svakja poenta na postot a site se kruchat.

@arsovski
11 years ago

Се сложувам со твоето логично и конкретно размислување на оваа ново настаната моментна ситуација која всушност е реакција на постот објавен погоре, г-дине Колега.

Vlatko
Vlatko
11 years ago
Reply to  @arsovski

am vie ako ne si se branite koj ke ve brani? normalno.. sto e poentata na postot? povelete ednas probajte da go razviete sami sistemot.. bez joomla wordpress i so da bilo "Anyone can do web design now" i posle razgovarajte kolku e sigurna vasata strana pa sporeduvajte so drugi custom resenia. ako nekoj saka da probie.. ke probie.. ali AJ krevajte calam… da ima so da pisite na blogov da ne e prazen..

Stefan Petrusevski
11 years ago
Reply to  Vlatko

:
Ова споредбава како "ај земете конструирајте и изработете вие авто па тогаш да видиме дали ќе сте бољи од ауди". IT.com.mk не девелоперска фирма него е портал за информатички технологии. Безбедноста на сајтовите, самиот интернет простор и користените решенија на македонски интернет се дел од информатичката технологија која не засега нас (луѓето на интернет) и сосем нормално е да се пишува и зборува за истото и тоа не треба да се прави само на овој портал.

Ова одприлика и би била поентата на постот, да се зборува за компјутерската и информациона безбедност која не е дел од македонската реалност, а би требало нели да биде.

А и у право си мора нешто да се пишува нема смисла да стои празен. :)

: благодарам колега.

p.s. Audi не беше случајно избран у примерот

Sasho Andrijeski
11 years ago

.mk сајтовите, рекурзивна контрадикторна иронија

@liquidworm
11 years ago
Reply to  @liquidworm

Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications that enables malicious attackers to inject client-side script into web pages viewed by other users.

From Wikipedia, the free encyclopedia

Vlatko
Vlatko
11 years ago
Reply to  @liquidworm

od koga wikipedia e "realibilen" izvor na it podatoci… go citiram hijackhacker… fail

@ViktrArs
11 years ago

Текстот не е дали сме ние професионални или не, туку дека постои проблем на кој ние само посочивме. Ако разбирате повеќе тогаш споделете го знаењето! Sharing is caring.

Baska
Baska
11 years ago

ХА ХА ХА ХА МН БРЗО ВИ ТЕКНА !!!!! ХА ХА ХА САЈТОВИТЕ СЕ РАНЛИВИ ВЕКЕ ЕДНА ГОДИНА И НИКОЈ НИШТО НЕ ПРЕВЗЕМА И АКО ПРОДОЛЖИТЕ ДА "КОПАТЕ" НИЗ МК САЈТОВИТЕ КЕ ВИДИТЕ ДЕКА ИМА УШТЕ ПРЕМНОГУ ВЛАДИНИ НЕЗАШТИТЕНИ САЈТОВИ А ПРЕД НЕКОЈ ПЕРИОД И НА ПРЕТСЕДАТЕЛОТ ИСТО ТАКА МН ЛЕСНО ДЕТЕ НА 13 ГОД ВОЗРАСТ МОЖЕ ДА АЈ ИНЈЕКТИРА И ДА ДОЈДЕ ДО УСЕР И ПАСС КОЈ Е ВО МД5 ХАШ И ЛЕСНО СЕ КРАКИРА. И не сер*те со коментари за XSS (CROSS SITE SCRIPT) кога очигледно слабо ги разбрате работите.поз

Александар Тасевски
Александар Тасевски
11 years ago
Reply to  Baska

"УСЕР И ПАСС КОЈ Е ВО МД5 ХАШ И ЛЕСНО СЕ КРАКИРА" – Не си ваљда озбилен? :) како и да е фала Jox за советот, имав направено пропуст и многу ми помогна.

@drown
11 years ago
Reply to  Baska

HA HA HA. C-A-P-S L-O-C-K.

kako da ne be
kako da ne be
11 years ago
Reply to  Baska

aj bas kazi kako MD5 lesno se krakira??? ah, site pocnavte da razbirate …

pecko.ruckov
pecko.ruckov
11 years ago

Abe niti razbirate sto e XSS, niti razbirate sto e phishing, niti znaete sto e ranlivost, a se zanimavate so blogiranje i kako demek e profesionalno.
Detski prikazni ne treba da se postuvaat na seriozni sajtovi ako voopsto ste toa

adsadsa
adsadsa
11 years ago
Reply to  pecko.ruckov

blogiranje e vrv i cel na sve to brate robote…

DAme
DAme
11 years ago
Reply to  pecko.ruckov

ova zvucese ko od star wars delot "I am your father" :D

p.s brat ako nemas argumenti ne kazuvaj nesto sto ne treba pls ;)

Pekky
Pekky
11 years ago

By the way zaboraviv da kazam deka ste vo pravo za fishingot. 3ti strani imaat pravo do user/pass ako imate xss DUPKA

Pekki
Pekki
11 years ago

Samo edno :) Vie mozebi mislite deka ID na sesija e hakiranje ama greska ste. Se toa e poinaku postaveno a neznam kolku vie ste zapozaeni so toa i kakov e toj lab sto go zboruva ova.

Vtoro , XSS ne ste razbrale sto e.Toa e napad so sto ti dobivas kontrola a domenot t.e. stranite se zastiteni i samo samiot domen moze da gi pristapi , i vie dobivate pristap kon niv.

SQL Inject
SQL Inject
11 years ago

Cao decki;DELETE FROM Aktuelno;–

:(

tepej
tepej
11 years ago

Jox, the ever so great.

DAme
DAme
11 years ago

Great Post Jox ;)

ит кариера

АЛОЗИС КОМУНИКЕЈШНС Д.О.О.Рим, Р.Италија - Подружница Скопје Р.Македонија

Full Stack Java Developer

види ги сите огласи на kariera.it.mk