Целта на експериментот е да се провери степенот на безбедност на сајтовите на институциите. Веќе е најавено дека се работи на е-Влада, најавено е дека сета администрација ќе биде со една единствена дата база, најавени се веб сервиси за граѓаните да можат да се регистрираат, поднесат информации…

sobranie.mk

Експериментот е мотивиран од потребата да имаме функционални, но пред се безбедни сервиси кои ќе се грижат за приватност на личните податоци.

Ранливоста на која ги тестиравме сајтовите е XSS напад, односно Cross-site scripting ранливост која може да се предизвика во search bar-от со неколку комбинации на стрингови како на пример: “><script>alert(document.cookie)</script> и други, кои со помош на phishing напад може да се дојде до доверливи информации како и навлегување во системот. Мора да се напомене дека XSS ранливост имаат околу 80% од сајтовите низ светот, според Wikipedia.

Но… тоа не е оправдување важни институции и владини сајтови да бидат незаштитени.

customs.gov.mk

Во експериментот се тестираа десетина сајтови по случаен избор, од кои приватните сајтови нема да бидат објавени, но затоа ќе ги објавиме доказите за грешките на .gov.mk сајтови, како и сајтови на високо образовни институции. Пред објавување на текстот, сите десетина приватни и сајтови на институции на кои беше направен експериментот беа претходно предупредени за ранливоста и им беше пратено решение како да се закрпи ранливоста. Повеќето сајтови реагираа и ја поправија грешката.

Со оваа ранливост, жртвата може да биде измамена со наизглед дадена легитимна врска (нормално прикриена со различни видови на енкодинг или скратување, пример, HEX, URL, 0.mk) која го вклучува нападот додека напаѓачот ги чека информациите на неговиот опслужувач.

kzk.gov.mk

Инјектирање на phishing скрипта, iframe phishing, phishing со преусмерување и крадење на cookies (колачиња) се само неколкуте техники кои можеме да се искористат преку XSS нападот.

Пример:

(креиран log.txt податок во серверот на напаѓачот, chmod 777 на двата фајла)

И така натаму..

Доказ на Концепт (PoC): http://www.eurm.edu.mk/?L=%22%3E%3Cscript%3Ealert%28%22Zero%20Science%20Lab%22%29%3C/script%3E

Оваа слабост или закана можете да ја закрпите со неколку функции кои користат избегнување на специјални карактери зависно од платформата:

eurm.edu.mk

feit.ukim.edu.mk

pf.ukim.edu.mk

Референци:

38 коментари на “Колку се безбедни .mk сајтовите? v1.0

  1. Ова што го правите вие е казниво со закон.
    Секое неовалстено скенирање со цел да се дојде до ранловост на сајтот, па уште тоа да се објавува јавно е казниво со закон.
    Во македонија постои тој закон.
    (Замислете ова да го правите во реалниот свет, да земете калауси и да застанете пред некоја банка и да ја проверувате вратата од банката дали е добро направена т.е дали има ранловости односно дали може да се отвори со некаков калаус и да го објавите типот на калаусот јавно. Па ќе ве фрлат одма позади решетки)

    Значи истото важи и за софтвер. Дури и доколку тоа е побарано од вас – да испитате безбедност на системот, дури ни во тој случај ранливостите не смеат да се објавуваат јавно.

    Провесионалци не смеат да си дозволат да не ги познаваат законите што владеат во државата и да работат против нив!

    1. Ja разбирам твоајта грижа. Но кога зборуваш за „професионалци“ мислиш на нас или мислиш на владини и високи образовни институции?

      Како што пишав и во текстот, нашата намера е да ги покажеме грешките, и како што прават сите професионалци, така пред да го објавиме текстот ги информираме и им пратиме решение како да го средат проблемот.

      Ако ти сакаш да им веруваш слепо и да им даваш податоци кои можат да се злоупотребат, тогаш слободно. Јас сакам да сум безбеден.

      1. Не знам дали ме разбравте правилно.

        Ако сакате вие да работите професионално тогаш мора да ги почитувате законите што владеат во државата. (Не зборувам какви провесионалци се владините институции.). Бидејци вие го пишувате овој текст морам да потенцирам дека начинот е неправилен.

        Навистина убаво од ваша страна што сте ги информирале и сте им пратиле решение.

        Вашата намера да ги покажете грешките на тој начин е противзаконска!
        Ве молам ако не ми верувате мене консултирајте правник за Кривичниот закон.

        Значи во вашата работа мора да ги исполнувате и правните нормативи.

  2. До господата погоре што се правеа паметни.

    Незнам која ви е поентата на сево ова, уреду ги напишавте коментарите испаднавте глупи и… Како размислувате воопшто не ми е јасно.. ако напишете коментар кој што нема никаква врска со постото ке добиете нешто?? Доколку сакате да се правите паметни пишувајте со вашето име, псеудоним под кој сте познаети а не да се криете под имиња како асдса…

    1. "Доколку сакате да се правите паметни пишувајте со вашето име, псеудоним под кој сте познаети а не да се криете под имиња како асдса… "

      Секој си има право на анонимност, без врска на псевдонимот секое мислење е ценето :)

  3. SQLversion: Microsoft SQL Server 2005 – 9.00.4053.00 (X64) May 26 2009 14:13:01 Copyright (c) 1988-2005
    Microsoft Corporation Standard Edition (64-bit) on Windows NT 5.2 (Build 3790: Service Pack 2)

    Command: ****** Baska, ти го едитирам коментарот бидејќи се работи за серозен сајт со сериозни информации. Причината е безбедност пред се, бидејќи во коментарот имаш податоци кои можат да се злоупотребат. Од друга страна не сакаме, верувам и ти, проблеми со правото, бидејќи хакирањето и пробивањето информации е криминал. Srry :( Но…не го бришам коментарот бидејќи демонстрира пропусти на важен владин сајт. (Виктор)

    Login pagehttp://www.president.gov.mk/admin/
    За дечково погоре е постов деак сум сериозен

  4. За сите којшто заминале офтопик со темите. Значи неможам да зборувам во името на Zero Science Lab но едниствено можам да кажам дека оваа тема е отворена со цел да се подобро заштитата на македонските веб сајтови, а не да се покаже кој колку може и што може.

    п.с и за да се подобри свеста кај тие што кодираат, малце повеќе да обрнат внимание и на безбедноста.

    1. Се сложувам со твоето логично и конкретно размислување на оваа ново настаната моментна ситуација која всушност е реакција на постот објавен погоре, г-дине Колега.

      1. am vie ako ne si se branite koj ke ve brani? normalno.. sto e poentata na postot? povelete ednas probajte da go razviete sami sistemot.. bez joomla wordpress i so da bilo "Anyone can do web design now" i posle razgovarajte kolku e sigurna vasata strana pa sporeduvajte so drugi custom resenia. ako nekoj saka da probie.. ke probie.. ali AJ krevajte calam… da ima so da pisite na blogov da ne e prazen..

      2. @Vlatko:
        Ова споредбава како "ај земете конструирајте и изработете вие авто па тогаш да видиме дали ќе сте бољи од ауди". IT.com.mk не девелоперска фирма него е портал за информатички технологии. Безбедноста на сајтовите, самиот интернет простор и користените решенија на македонски интернет се дел од информатичката технологија која не засега нас (луѓето на интернет) и сосем нормално е да се пишува и зборува за истото и тоа не треба да се прави само на овој портал.

        Ова одприлика и би била поентата на постот, да се зборува за компјутерската и информациона безбедност која не е дел од македонската реалност, а би требало нели да биде.

        А и у право си мора нешто да се пишува нема смисла да стои празен. :)

        @Damjan: благодарам колега.

        p.s. Audi не беше случајно избран у примерот

    1. Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications that enables malicious attackers to inject client-side script into web pages viewed by other users.

      From Wikipedia, the free encyclopedia

  5. Текстот не е дали сме ние професионални или не, туку дека постои проблем на кој ние само посочивме. Ако разбирате повеќе тогаш споделете го знаењето! Sharing is caring.

  6. ХА ХА ХА ХА МН БРЗО ВИ ТЕКНА !!!!! ХА ХА ХА САЈТОВИТЕ СЕ РАНЛИВИ ВЕКЕ ЕДНА ГОДИНА И НИКОЈ НИШТО НЕ ПРЕВЗЕМА И АКО ПРОДОЛЖИТЕ ДА "КОПАТЕ" НИЗ МК САЈТОВИТЕ КЕ ВИДИТЕ ДЕКА ИМА УШТЕ ПРЕМНОГУ ВЛАДИНИ НЕЗАШТИТЕНИ САЈТОВИ А ПРЕД НЕКОЈ ПЕРИОД И НА ПРЕТСЕДАТЕЛОТ ИСТО ТАКА МН ЛЕСНО ДЕТЕ НА 13 ГОД ВОЗРАСТ МОЖЕ ДА АЈ ИНЈЕКТИРА И ДА ДОЈДЕ ДО УСЕР И ПАСС КОЈ Е ВО МД5 ХАШ И ЛЕСНО СЕ КРАКИРА. И не сер*те со коментари за XSS (CROSS SITE SCRIPT) кога очигледно слабо ги разбрате работите.поз

    1. "УСЕР И ПАСС КОЈ Е ВО МД5 ХАШ И ЛЕСНО СЕ КРАКИРА" – Не си ваљда озбилен? :) како и да е фала Jox за советот, имав направено пропуст и многу ми помогна.

  7. Samo edno :) Vie mozebi mislite deka ID na sesija e hakiranje ama greska ste. Se toa e poinaku postaveno a neznam kolku vie ste zapozaeni so toa i kakov e toj lab sto go zboruva ova.

    Vtoro , XSS ne ste razbrale sto e.Toa e napad so sto ti dobivas kontrola a domenot t.e. stranite se zastiteni i samo samiot domen moze da gi pristapi , i vie dobivate pristap kon niv.

  8. Abe niti razbirate sto e XSS, niti razbirate sto e phishing, niti znaete sto e ranlivost, a se zanimavate so blogiranje i kako demek e profesionalno.
    Detski prikazni ne treba da se postuvaat na seriozni sajtovi ako voopsto ste toa

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии