Predrag Cujanović

Menu

A od Koridora 10 ni hvala!

Ni hvala!

Situacija sa našim državnim sajtovima je uvek u početku tužna i na kraju ispadne smešna, a ljudi prosto ne znaju da li treba da saosećaju ili da se ipak smeju kada čuju sta se sve sa njima dešava. Nameće se pitanje ko je kriv? Da li su to angažovani ljudi za izradu i održavanje web sajta, ili pak njihovi poslodavci. Rekao bih oboje.

 

Ljudi koji su najviše iskoristili sigurnosne propuste, u našim državnim web sajtovima, jesu Albanci. Poruke koje su isticali na njima  bile su protiv Srbije, Rusije, Grčke i Makedonije. Deface-ovane sajtove na gov.rs domenima možete videti ovde. Da ne spominjemo skorije skandale sa web sajtovima odeljenja za visokotehnološki kriminal i “Očistimo Srbiju” , kao i akcije hapšenja ljudi koji su samo indirektno bili umešani u menjanje sadržaja sajta odeljenja za visokotehnološki kriminal, jer su videli na društvenim mrežama administratorske podatke za prijavu na sajt.

 

Ja sam svestan da postoje ljudi koji znaju mnogo više od mene i imaju mnogo manje godina od mene, ali svako ko radi na održavanju web prezentacija treba da ima barem neko najosnovnije znanje iz oblasti zaštite informacija. Pogotovo, ako taj neko ima veoma ozbiljnu klijentelu. Ne tvrdim da postoji 100% zaštita, ali ne treba nikom olakšati da dođe do vaših poverljivih informacija i intelektualne svojine na nezakonit način. Uostalom zašto zaključavamo vrata stana?

 

Pre oko godinu dana lutajući internetom, slučajno, ne pamtim kako, zalutah na web sajt Koridora 10 . Videh da je neki “Custom made CMS“, pa kao svaki znatiželjan elektronac “pročešljah” malo po njemu. Na trenutak mi je sve delovalo ok, ali sam onda spazio modul za prikazivanje vesti po principu lightbox-a koji je bio ranjiv na SQL Injection . Posle svega 15min. provedenih na sajtu, uspeo sam da pročitam podatke za logovanje administatora koji su prikazani na sledećoj slici (šifre su, iako se ne koriste više, izbrisane sa slike):

 

 

Ono što nisam mogao da razumem, jeste to da su šifre pored MD5 reprezentacija bile čuvane u bazi i kao običan tekst! Zasto? Stvarno nemam pojma.

Jedina stvar koja mi je sad falila da se logujem, jeste login strana. I to je bilo lako, link ka strani za adminstatorsko logovanje je bio /admin/ :

 

 

I tako se ja logovah. Slike admin panela:

 

 

 

 

Nisam hteo naravno nista da menjam, seo sam i poslao im mail da ih upozorim na ranjivost:

 

 

Moj mail na [email protected] nije stigao, jer adresa nije vise postojala (ako i jeste uopšte nekada), a odgovor na moj mail nikad nažalost nisam dobio. Posle par dana modulu mi_mw.php nije moglo da se pristupi jer je tražio username i password (password protected object). To je trajalo nekih mesec dana i posle je sve sređeno.

 

Na kraju, postavlja se pitanje: da li biste vi rekli hvala nekome ko je umanjio verovatnocu pojavljivanja Albanske zastave na vasem sajtu?

 

 

 

6 thoughts on “A od Koridora 10 ni hvala!

  1. Vidiš, ja sam to probao sa jednom bušnom joomlom, i nije baš dobro prošlo. Optužen sam kao da sam srušio sajt, iako ništa nisam radio, sem što sam objavio šifru, koja je u 50% slučajeva admin/admin admin/123456 admin/1234 admin/administrator

    1. Svest ljudi koji prave/odrzavaju drzavne web sajtove je mala. Jos ako im mozda ukazes na neki propust kao pojedinac mogu cak i pravno da te gone. Kvalitet tih ljudi ne zelim da komentarisem, Boris Tadic na zvanicnoj FB strani moli ljude da lajkuju sliku koja ucestvuje na nagradnoj igri za foto aparat od 200e. Ko zna sta sve moze da se nadje onda na drzavnim serverima. :-)

Leave a Reply

Your email address will not be published. Required fields are marked *