Бумажные специалисты. Часть 3. РЖД

Решил я заказать билет на поезд через интернет и при регистрации на сайте РЖД ^[1] увидел следующую картину маслом.

По сути РЖД снимает с себя ответственность за утечку/распространение персональных данных пользователей. Как обстоят дела с безопасностью на практике показано под катом.

Для начала я решил погуглить и как результат нашел хранимый XSS за 5 минут. Стало немного смешно. Код google dork следующий:
site:rzd.ru intext:alert(
site:rzd.ru intext:xss
Нашлись XSS, оставленные доброжелателем, проявляющиеся по следующим адресам
XSS1 ^[2]

XSS2 ^[3]

Также можно посмотреть на XSS по следующему адресу
<a href=«inter.rzd.ru/isvp/download?col_id=121 ^[4]'»()%26%25

Ситуация с защитой от XSS в принципе ясна, можно перейти и к SQL раскопкам. Для начала пройдемся по google dork:
site:rzd.ru intext:sql
site:rzd.ru intext:oracle.jdbc.driver
site:rzd.ru CWP_SALE
site:rzd.ru SaleOrderDataMapper

А тут уже не смешно. Куча stacktrace с кодом реальных SQL запросов и такая же куча пользователей жалующихся на неработающую систему. Я считаю, что это уже перебор, когда пользователи обмениваются с stacktrace в попытках купить билет.

Ну можно и просто упасть

Там где stacktrace не видны на первый взгляд, они видны в комментариях.

Хотелось бы узнать, кто проводит аудит и пентест для РЖД?

Опять-таки, хочу напомнить, что я не призываю к совершению противозаконных действий, я просто констатирую факт, что ИБ на бумаге недостаточно для каких-либо гарантий. Так же как и при сборке машины по ГОСТу, нет гарантий, что при крэш-тесте маникен не будет разорван. Именно поэтому добросовестные производители машин проводят крэш-тесты.

Хочется поблагодарить @SoLatiK за помощь в полуночных раскопках и попросить для него инвайта на kvvky@mail.ru Думаю, он еще не раз сможет порадовать аудиторию Хабра.

Автор: 090h

Источник ^[5]