Невідоповідність системи е-декларування вимогам проекту ПРООН 1

Частина 1. Вразливості програмного забезпечення.

Щоб закрити питання про кукі і про безумовний редірект і тд бо ширяться думки по ФБ шо то нічого страшного не знайдено.

Еммм я тут вимоги до проекту прочитав (http://procurement-notices.undp.org/view_file.cfm?doc_id=65269)

Так от я цитую “Постачальник повинен перевірити систему електронного декларування на захищеність за списком вразливостей OWASP Top 10 vulnerabilities 2013.”

Неважко перейти за посиланням https://www.owasp.org/index.php/Top_10_2013-Top_10 і побачити що порушено
1) https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management
В пунктах
5 Session IDs don’t timeout, or user sessions or authentication tokens, particularly single sign-on (SSO) tokens, aren’t properly invalidated during logout.
6 Session IDs aren’t rotated after successful login.

Це танці з куками

2) https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration

в пунктах

2. Are any unnecessary features enabled or installed (e.g., ports, services, pages, accounts, privileges)? Я знайшов яйце з генерацією + криво налаштована ліба

3. Are default accounts and their passwords still enabled and unchanged?
Тестові ключі “забули” вимкнути

4. Does your error handling reveal stack traces or other overly informative error messages to users?
Ми всі пам’ятаємо 500 з трейсбеком payara

3) https://www.owasp.org/index.php/Top_10_2013-A10-Unvalidated_Redirects_and_Forwards

ПОВНІСТЮ по суті див приклад атаки

Scenario #1: The application has a page called “redirect.jsp” which takes a single parameter named “url”. The attacker crafts a malicious URL that redirects users to a malicious site that performs phishing and installs malware.

http://www.example.com/redirect.jsp?url=evil.com
Це безумовний редірект

Питання до Юрий Новиков (керівник Міранди) WTF? (в перекладі – якого чорта?)
Я ж вам це сюди писав!

Алекс Шевело в ФБ

Всі публікації по темі тут https://maidan.org.ua/miranda-imitation-game/

Тезе, воно ж тендерне тезе. П 1.2.3. - лажа 100%
Тезе, воно ж тендерне тезе. П 1.2.3. – лажа 100%

4 Comments

  1. Сама идея с е-декларированием не плоха, но реализация хромает, на обе ноги, программное обеспечение взломает даже школьник, доведут до ума, возражать никто не станет, а то что сейчас госспецсвязь отказала в аттестации, то это абсолютно правильное решение, вся информация должна быть как минимум хорошо защищена и работать как часы. Теперь возникает один вопрос куда делись деньги которые должны были быть потрачены на нормальное обеспеченье защиты программы и кому это выгодно, появилась реальная угроза дестабилизации в стране благодаря халатности.

  2. новость очень актуальная и требует внимания: то го, что госспецсвязь отказала а аттестации е-декларирования, абсолютно правильное решение, теперь будем пожинать плоды, ведь система уже взломана, наверное не сложно было, ведь защита тем никакая, все у нас делается в целях само рекламы, ничего толкового, в очередной раз пропихнули гадость, под видом сладости, многие съели, а теперь будут жалеть, что поддерживали такое, как только удастся ведь понятно кто больше всех кричал о необходимости запуска.

  3. Эта новость является очень актуальной и требует особого внимания всех без исключения! Речь идёт об декларировании. Госспецсвязь отказала а аттестации е-декларирования, абсолютно правильное решение, теперь будем пожинать плоды, ведь система уже взломана, наверное не сложно было, ведь защита тем никакая, все у нас делается в целях само рекламы, ничего толкового, в очередной раз пропихнули гадость, под видом сладости, многие съели, а теперь будут жалеть, что поддерживали такое, как только удастся ведь понятно кто больше всех кричал о необходимости запуска. Спасибо еврооптимистам, молодцы, слов нет….

Comments are closed.