A od Koridora 10 ni hvala!

Situacija sa našim državnim sajtovima je uvek u početku tužna i na kraju ispadne smešna, a ljudi prosto ne znaju da li treba da saosećaju ili da se ipak smeju kada čuju sta se sve sa njima dešava. Nameće se pitanje ko je kriv? Da li su to angažovani ljudi za izradu i održavanje web sajta, ili pak njihovi poslodavci. Rekao bih oboje.

 

Ljudi koji su najviše iskoristili sigurnosne propuste, u našim državnim web sajtovima, jesu Albanci. Poruke koje su isticali na njima  bile su protiv Srbije, Rusije, Grčke i Makedonije. Deface-ovane sajtove na gov.rs domenima možete videti ovde. Da ne spominjemo skorije skandale sa web sajtovima odeljenja za visokotehnološki kriminal i „Očistimo Srbiju“ , kao i akcije hapšenja ljudi koji su samo indirektno bili umešani u menjanje sadržaja sajta odeljenja za visokotehnološki kriminal, jer su videli na društvenim mrežama administratorske podatke za prijavu na sajt.

 

Ja sam svestan da postoje ljudi koji znaju mnogo više od mene i imaju mnogo manje godina od mene, ali svako ko radi na održavanju web prezentacija treba da ima barem neko najosnovnije znanje iz oblasti zaštite informacija. Pogotovo, ako taj neko ima veoma ozbiljnu klijentelu. Ne tvrdim da postoji 100% zaštita, ali ne treba nikom olakšati da dođe do vaših poverljivih informacija i intelektualne svojine na nezakonit način. Uostalom zašto zaključavamo vrata stana?

 

Pre oko godinu dana lutajući internetom, slučajno, ne pamtim kako, zalutah na web sajt Koridora 10 . Videh da je neki „Custom made CMS„, pa kao svaki znatiželjan elektronac „pročešljah“ malo po njemu. Na trenutak mi je sve delovalo ok, ali sam onda spazio modul za prikazivanje vesti po principu lightbox-a koji je bio ranjiv na SQL Injection . Posle svega 15min. provedenih na sajtu, uspeo sam da pročitam podatke za logovanje administatora koji su prikazani na sledećoj slici (šifre su, iako se ne koriste više, izbrisane sa slike):

 

 

Ono što nisam mogao da razumem, jeste to da su šifre pored MD5 reprezentacija bile čuvane u bazi i kao običan tekst! Zasto? Stvarno nemam pojma.

Jedina stvar koja mi je sad falila da se logujem, jeste login strana. I to je bilo lako, link ka strani za adminstatorsko logovanje je bio /admin/ :

 

 

I tako se ja logovah. Slike admin panela:

 

 

 

 

Nisam hteo naravno nista da menjam, seo sam i poslao im mail da ih upozorim na ranjivost:

 

 

Moj mail na admin@koridor10.rs nije stigao, jer adresa nije vise postojala (ako i jeste uopšte nekada), a odgovor na moj mail nikad nažalost nisam dobio. Posle par dana modulu mi_mw.php nije moglo da se pristupi jer je tražio username i password (password protected object). To je trajalo nekih mesec dana i posle je sve sređeno.

 

Na kraju, postavlja se pitanje: da li biste vi rekli hvala nekome ko je umanjio verovatnocu pojavljivanja Albanske zastave na vasem sajtu?

 

 

 

6 CommentsLeave a comment

Ostavite odgovor

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *