Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kiedy pliki jednego z rządowych intranetów stają się dostępne dla wszystkich…
Jakiś czas temu otrzymaliśmy informację o dość ciekawym przypadku: intranet Wojewódzkiego Inspektoratu Ochrony Środowiska we Wrocławiu udostępniony w Internecie.
Czy nie było tam logowania? – zapytacie.
Było – odpowiemy.
Więc w czym problem? – będziecie dociekać.
Ano w tym, że pliki – dostępne normalnie po logowaniu – były również możliwe do pobrania bez logowania, a na domiar złego web serwer wyświetlał zawartość katalogów po wejściu na nie (tzw. directory listing, działający gdy w katalogu nie ma pliku index).
Przykład?
Przy czym /pliki to tylko jeden z przykładów.
Problem zgłosiliśmy do CSIRT ABW (właściciel systemu został następnie poinformowany i w błyskawicznym tempie domena intranet przestała być całkowicie dostępna z publicznego internetu).
~Michał Sajdak
Podejrzewam, że jest to kwestia braku budżetu na specjalistę w urzędzie. Strona zapewne zrobiona w dobrej wierze natomiast brak doświadczenia jej twórcy zaowocował takim efektem. Klasyka.
Fakt, klasyka ale powinni brać siły na zamiary i nie stawiać tego na publicznym ftp.
Areczku jak sie nie podoba to 10 chetnych mam na ta robote