Публикувана на 03.05.2017 от Questo
Последна промяна на 03.05.2017
Сайтовете на редица окръжни и районни съдилища в България не издържат елементарна проверка за SQL уязвимост. Открих този факт случайно, докато по-рано тази седмица авторът на Не!новините Самуил Петканов се забавляваше с нелепия дизайн на сайта на районен съд Шумен. Той беше споделил в профила си във Facebook линк към въпросния сайт, а аз реших да тествам дали сайтът е податлив на т.нар. SQL инжекции. Това са атаки, при които може да се манипулира базата данни на сайта и по този начин да се получи контрол над него.
Има един лесен начин, който всеки може да направи в домашни условия, за да провери дали даден сайт е уязвим към SQL атаки. Просто към интернет адреса на страница от сайта се добавя апостроф и страницата се презарежда. Ако се появи съобщение за грешка, сайтът с голяма вероятност е уязвим.
Направих такава проверка със сайта на Шуменския съд. Ето какво получих като резултат:
Промененият адрес и съобщението за грешка са оградени в червено. Когато това се случи, то обикновено е сигнал, че сайтът има проблем и неговата база данни може да бъде манипулирана.
Същият резултат вадят сайтовете на на районните съдилища в градове като София, Бургас, Ямбол, окръжният съд в Плевен. Всъщност сайтовете на повечето съдилища в България са под общия домейн court-bg.org: така че, без да съм ги отварял всичките, мога да се обзаложа, че проблемът може да бъде открит навсякъде.
Защо това е проблем?
SQL уязвимостите са една от най-масовите и лесни за откриване, поради което са най-експлоатирани. Пробивът на такъв сайт е по силите на всеки незвзрачен хакер: разбирай тийнейджър, който може да работи с SQLMap . Последното е програма, която сканира даден уебсайт и открива SQL уязвимости, въпреки че добър специалист може да открива уязвимостите само с браузър, без нуждата от специален софтуер.
Обикновено SQL уязвимостите се използват за дифейсването на уебсайтове. Това означава, че хакерът сменя заглавната страница на сайта с такава по свое желание. Използвайки SQL уязвимост, той може също така да получи достъп до администраторския панел на сайта, да променя съдържанието му, да събере личните данни на регистрираните му потребители. Нищо от изброените не би следвало да се случва с уебсайта на сериозна държавна институция, каквато е българският съд.
Проблемът вече е бил експлоатиран
Оказва се, че проблемът май отдавна е известен и някой вече се е възползвал от него. Попаднах на Twitter профила на този български хакер, който е публикувал видеа-доказателства за свършеното от него. Едно от видеата показва как той влиза в базата данни на сайта на Софийски окръжен съд и събира от там различни данни. Видеото, което е публикувано през юни 2015 г., изглежда автентично, а в коментарите под него авторът дори дава на други потребители инструкции за действие – в случай, че и те искат да се поровят.
Това обаче не е единственият пример. През октомври 2016 г. с мен се свърза фалшив Facebook профил и ми подсказа, че някой е хакнал сайта на Националния комитет по профилактика на СПИН и полово предавани болести. Авторите, които се обозначават като Bulgarian Cyber Army, бяха дифейснали една от директориите на сайта и тя изглеждаше така:
Тази картинка стоя на сайта може би около месец-два, преди да изчезне: вероятно защото администратора на сайта в крайна сметка е открил, че страницата е била хакната.
XSS уязвимости в редица държавни сайтове
Ако в началото на 2016 г. сте следили новините, вероятно сте чули за серия „хакерски атаки“ срещу сайтове на държавни институции, при което съдържанието на сайтовете беше подменено със забавни колажи. Причината това да се случи бяха XSS уязвимости във въпросните сайтове.
Обикновено за да публикувате нещо в един сайт, вие имате нужда от име и парола за администраторски достъп. Ако сайтът има XSS уязвимост обаче, това ви позволява да подменяте съдържанието му (или поне да изглежда, че сте го подменили), без да имате достъп до администраторския панел. Точно това беше направил автора на колажите. Ето как изглеждаше например сайтът на МОН:
Освен страницата на МОН, XSS уязвимост по това време имаха сайтовете на други важни държавни институции като НАП и МВР.
Тези няколко примера очертават един сериозен проблем: сайтовете на някои държавни институции не са добре защитени и могат лесно да бъдат хакнати, а личните данни, които съдържат – откраднати. Освен че това означава неефективно разходване на държавни средства, по-важното в случая е, че дупките в сигурността на тези сайтове вече са известни не на когото трябва. И вероятно е въпрос на време, преди някой друг да се възползва от това.
Подобни статии
