Публикувана на 09.02.2016 от Questo
Последна промяна на 09.02.2016
Един весел колаж, включващ новият образователен министър Меглена Кунева и известни политици, обиколи социалните медии, след като се появи в сайта на Министерство на образованието и науката. Новината бързо се появи в онлайн медиите със заглавия от рода на „Хакнаха сайта на МОН“ и подобни. Какво всъщност се е случило?
От скрийншотове, които са публикувани тук, може да се види, че очевидно сайтът на МОН има XSS уязвимост. Това е дупка в сигурността, която позволява на потребителите да инжектират код и така да манипулират съдържанието на сайта.
В случая на МОН слабото място в сайта се оказва търсачката. Ако търсачката има XSS уязвимост, в нея може да се въведе елементарен скрипт, който казва на браузъра да зареди изображение (в случая – колажа с Кунева). Точно това се е случило и със сайта на МОН. В момента от страницата на ведомството липсва търсачка, а на скрийншотовете веднага след атаката се вижда, че търсачка е имало. Предположението ми е, че уебмастърът е махнал търсачката, за да не се стигне до пускането на нови колажи.
Реално сайтът не е бил хакнат – шегаджиите простно са пейстнали еидн скрипт в търсачката на сайта. И все пак XSS уязвимостите не са за подценяване. Те могат да се открият и в сайтовете на други държавни инстируции като НАП например. И това е проблем, защото държавните агенции трябва да имат надеждни сайтове. Оценявам креативността на автора и в случая неговата шега е безобидна, но допускането на XSS уязвимости в официални портали издава много слабо ниво на защита срещу хакерски атаки.
Подобни статии
