Невідоповідність системи е-декларування вимогам проекту ПРООН 1

Частина 1. Вразливості програмного забезпечення.

Щоб закрити питання про кукі і про безумовний редірект і тд бо ширяться думки по ФБ шо то нічого страшного не знайдено.

Еммм я тут вимоги до проекту прочитав (http://procurement-notices.undp.org/view_file.cfm?doc_id=65269)

Так от я цитую “Постачальник повинен перевірити систему електронного декларування на захищеність за списком вразливостей OWASP Top 10 vulnerabilities 2013.”

Неважко перейти за посиланням https://www.owasp.org/index.php/Top_10_2013-Top_10 і побачити що порушено
1) https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management
В пунктах
5 Session IDs don’t timeout, or user sessions or authentication tokens, particularly single sign-on (SSO) tokens, aren’t properly invalidated during logout.
6 Session IDs aren’t rotated after successful login.

Це танці з куками

2) https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration

в пунктах

2. Are any unnecessary features enabled or installed (e.g., ports, services, pages, accounts, privileges)? Я знайшов яйце з генерацією + криво налаштована ліба

3. Are default accounts and their passwords still enabled and unchanged?
Тестові ключі “забули” вимкнути

4. Does your error handling reveal stack traces or other overly informative error messages to users?
Ми всі пам’ятаємо 500 з трейсбеком payara

3) https://www.owasp.org/index.php/Top_10_2013-A10-Unvalidated_Redirects_and_Forwards

ПОВНІСТЮ по суті див приклад атаки

Scenario #1: The application has a page called “redirect.jsp” which takes a single parameter named “url”. The attacker crafts a malicious URL that redirects users to a malicious site that performs phishing and installs malware.

http://www.example.com/redirect.jsp?url=evil.com
Це безумовний редірект

Питання до Юрий Новиков (керівник Міранди) WTF? (в перекладі – якого чорта?)
Я ж вам це сюди писав!

Алекс Шевело в ФБ

Всі публікації по темі тут http://maidan.org.ua/miranda-imitation-game/

Тезе, воно ж тендерне тезе. П 1.2.3. - лажа 100%

Тезе, воно ж тендерне тезе. П 1.2.3. – лажа 100%

Оксана Хвиля liked this post

Контроль якості інформації на сайті Майдан

Всі новини, статті та записки мають відповідати Інформаційній Політиці Майдану. Якщо ви бачите невідповідність - будь ласка повідомте нам на news@maidan.org.ua і вкажіть гіперлінк (URL) матеріалу. Приклад спростування інформації тут

4 Comments on "Невідоповідність системи е-декларування вимогам проекту ПРООН 1"

Comments are closed.