- PVSM.RU - https://www.pvsm.ru -
Решил я заказать билет на поезд через интернет и при регистрации на сайте РЖД [1] увидел следующую картину маслом.
По сути РЖД снимает с себя ответственность за утечку/распространение персональных данных пользователей. Как обстоят дела с безопасностью на практике показано под катом.
Для начала я решил погуглить и как результат нашел хранимый XSS за 5 минут. Стало немного смешно. Код google dork следующий:
site:rzd.ru intext:alert(
site:rzd.ru intext:xss
Нашлись XSS, оставленные доброжелателем, проявляющиеся по следующим адресам
XSS1 [2]
XSS2 [3]
Также можно посмотреть на XSS по следующему адресу
<a href=«inter.rzd.ru/isvp/download?col_id=121 [4]'»()%26%25
Ситуация с защитой от XSS в принципе ясна, можно перейти и к SQL раскопкам. Для начала пройдемся по google dork:
site:rzd.ru intext:sql
site:rzd.ru intext:oracle.jdbc.driver
site:rzd.ru CWP_SALE
site:rzd.ru SaleOrderDataMapper
А тут уже не смешно. Куча stacktrace с кодом реальных SQL запросов и такая же куча пользователей жалующихся на неработающую систему. Я считаю, что это уже перебор, когда пользователи обмениваются с stacktrace в попытках купить билет.
Ну можно и просто упасть
Там где stacktrace не видны на первый взгляд, они видны в комментариях.
Хотелось бы узнать, кто проводит аудит и пентест для РЖД?
Опять-таки, хочу напомнить, что я не призываю к совершению противозаконных действий, я просто констатирую факт, что ИБ на бумаге недостаточно для каких-либо гарантий. Так же как и при сборке машины по ГОСТу, нет гарантий, что при крэш-тесте маникен не будет разорван. Именно поэтому добросовестные производители машин проводят крэш-тесты.
Хочется поблагодарить @SoLatiK за помощь в полуночных раскопках и попросить для него инвайта на kvvky@mail.ru Думаю, он еще не раз сможет порадовать аудиторию Хабра.
Автор: 090h
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/28176
Ссылки в тексте:
[1] регистрации на сайте РЖД: https://young.rzd.ru/news/public/selfcare
[2] XSS1: http://young.rzd.ru/forum/public/young?layer_id=4855&id=1846329
[3] XSS2: http://young.rzd.ru/forum/public/young?STRUCTURE_ID=5077&forum_id=5&layer_id=4064&id=135224&page4064_1526=2
[4] inter.rzd.ru/isvp/download?col_id=121: http://inter.rzd.ru/isvp/download?col_id=121
[5] Источник: http://habrahabr.ru/post/170869/
Нажмите здесь для печати.