Zamów książkę sekuraka o bezpieczeństwo aplikacji www!

Kiedy pliki jednego z rządowych intranetów stają się dostępne dla wszystkich…

04 stycznia 2022, 11:06 | W biegu | komentarze 3

Jakiś czas temu otrzymaliśmy informację o dość ciekawym przypadku: intranet Wojewódzkiego Inspektoratu Ochrony Środowiska we Wrocławiu udostępniony w Internecie.

Czy nie było tam logowania? – zapytacie.

Było – odpowiemy.

Więc w czym problem? – będziecie dociekać.

Ano w tym, że pliki – dostępne normalnie po logowaniu – były również możliwe do pobrania bez logowania, a na domiar złego web serwer wyświetlał zawartość katalogów po wejściu na nie (tzw. directory listing, działający gdy w katalogu nie ma pliku index).

Przykład?

Przy czym /pliki to tylko jeden z przykładów.

Problem zgłosiliśmy do CSIRT ABW (właściciel systemu został następnie poinformowany i w błyskawicznym tempie domena intranet przestała być całkowicie dostępna z publicznego internetu).

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Piotr

    Podejrzewam, że jest to kwestia braku budżetu na specjalistę w urzędzie. Strona zapewne zrobiona w dobrej wierze natomiast brak doświadczenia jej twórcy zaowocował takim efektem. Klasyka.

    Odpowiedz
    • Luk

      Fakt, klasyka ale powinni brać siły na zamiary i nie stawiać tego na publicznym ftp.

      Odpowiedz
      • Ktosiek

        Areczku jak sie nie podoba to 10 chetnych mam na ta robote

        Odpowiedz

Odpowiedz