ČSSD používá heslo xxx

Člověk s nickem Palach mi včera e-mailem reportoval zajímavou chybu na oficiálních volebních stránkách ČSSD, díky níž lze zobrazit vedle jiných citlivých dat i přihlašovací údaje do tamní databáze. Zranitelnost je o to zajímavější, že k její vyvolání není třeba provádět žádný sofistikovaný útok, postačí navštívit jednu ze stránek a nepředat jí kompletní parametry, viz následující ukázka:

Výstupem uvedené stránky je chybový log obsahující mj. přihlašovací údaje do PostgreSQL databáze. Administrátoři daného systému se očividně nepoučili z kauzy slovenského NBU, jehož systém byl chráněn heslem nbusr123, a pro přihlášení do databáze zvolili heslo xxx, viz přiložený výřez chybového logu a jeho částečný screen:

[connection] => Resource id #14
[dsn] => Array
	(
		[phptype] => pgsql
		[dbsyntax] => pgsql
		[username] => postgres
		[password] => xxx
		[protocol] => 
		[hostspec] => localhost
		[port] => 5431
		[socket] => 
		[database] => socdem_volby_cssd
	)

Nejen, že zvolili nedostatečně silné heslo a nevypnuli error reporting na ostrém serveru, čímž umožnili docílit tzv. Full Path Disclosure, navíc lze na serveru dosáhnout SQL Injection, a to rovnou v uvedeném parametru root_id, viz neškodná ukázka:

O všudypřítomné non-persistentní XSS už se snad ani nemá cenu zmiňovat, jedna za všechny:

Heslo složené ze tří písmen x, které ve světě Internetu zastupuje výraz porno, by pravděpodobně čekal u oficiálního webu politické strany málokdo…