Останні новини

Невідоповідність системи е-декларування вимогам проекту ПРООН 1

Частина 1. Вразливості програмного забезпечення.

Щоб закрити питання про кукі і про безумовний редірект і тд бо ширяться думки по ФБ шо то нічого страшного не знайдено.

Еммм я тут вимоги до проекту прочитав (http://procurement-notices.undp.org/view_file.cfm?doc_id=65269)

Так от я цитую “Постачальник повинен перевірити систему електронного декларування на захищеність за списком вразливостей OWASP Top 10 vulnerabilities 2013.”

Неважко перейти за посиланням https://www.owasp.org/index.php/Top_10_2013-Top_10 і побачити що порушено
1) https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management
В пунктах
5 Session IDs don’t timeout, or user sessions or authentication tokens, particularly single sign-on (SSO) tokens, aren’t properly invalidated during logout.
6 Session IDs aren’t rotated after successful login.

Це танці з куками

2) https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration

в пунктах

2. Are any unnecessary features enabled or installed (e.g., ports, services, pages, accounts, privileges)? Я знайшов яйце з генерацією + криво налаштована ліба

3. Are default accounts and their passwords still enabled and unchanged?
Тестові ключі “забули” вимкнути

4. Does your error handling reveal stack traces or other overly informative error messages to users?
Ми всі пам’ятаємо 500 з трейсбеком payara

3) https://www.owasp.org/index.php/Top_10_2013-A10-Unvalidated_Redirects_and_Forwards

ПОВНІСТЮ по суті див приклад атаки

Scenario #1: The application has a page called “redirect.jsp” which takes a single parameter named “url”. The attacker crafts a malicious URL that redirects users to a malicious site that performs phishing and installs malware.

http://www.example.com/redirect.jsp?url=evil.com
Це безумовний редірект

Питання до Юрий Новиков (керівник Міранди) WTF? (в перекладі – якого чорта?)
Я ж вам це сюди писав!

Алекс Шевело в ФБ

Всі публікації по темі тут http://maidan.org.ua/miranda-imitation-game/

Тезе, воно ж тендерне тезе. П 1.2.3. - лажа 100%

Тезе, воно ж тендерне тезе. П 1.2.3. – лажа 100%

Оксана Хвиля liked this post

4 Comments on "Невідоповідність системи е-декларування вимогам проекту ПРООН 1"

Comments are closed.

More in Безпека, Національна безпека, Технології, Статті, Школа інформаційної безпеки
c3f36bb3-c25a-4f0e-8258-414838b456cc
Співчуваю чиновникам або сім кіл пекла е-декларування

Щиро співчуваю чиновникам, якщо їх таки заставлять подавати декларації при нинішньому стані системи. Кожному з них доведеться пройти сім кіл...

Close