Региональный сайт партии «Единая Россия» работает на дырявой CMS MWDSoft

Author Роман Чернышов    Category CMS, PHP     Tags , Комментариев 1 Дата 30 Янв

Гуляя на досуге по просторам сети, в поисках приключений, я наткнулся на региональный сайт партии «Единая Россия» (Республика Марий Эл). Все как и следовало ожить: красно-сине-белые тона дизайна, новости и статьи из области политики, фотографии, различные документы и прочее. Бегло просмотрев несколько статей, я уже было засобирался уходить, вКонтакте в местном клубе ждали две симпатичные блондинки. Но по привычке перед уходом с сайта, я обратил внимания на URL страницы…

Он выглядел следующим образом (т.е. вполне нормально):

site-example.ru/newsline.htm?ownrubric_id=3

Добавив одинарную кавычку ( ‘ ) в конец урла сайта и нажав Enter меня ждал умопомрачительный сюрприз, такого я не как не ожидал от регионального сайта партии ЕдРа. На сайте произошел сбой: передаваемые данные в этом параметре очевидно не как не фильтровались и напрямую подставлялись в строку запроса к mySQL серверу.

Проблема не нова, и весьма известна и распространена среди новичков, экспериментаторов, школьников или кого там еще? — но не как не для сайта такого уровня.

Привожу скриншот того, что выдал сайт:

Как видно, сайт не только упал в «даун» и выдал текст SQL запроса, а так же еще выдал распечатку переменной среды сервера и  список подключаемых файлов.

В распечатке отображается много чего интересно, начиная от Docoment Root и заканчивая SCRIPT_FILENAME. Таким образом предоставляя нам не только возможность выполнения SQL Injection, но еще и предоставляет нам множество полезных сведений для нанесения атаки.

Но разумеется этого делать я не стал, а вот изучить CMS на которой он работает мне захотелось поглубже. В результате оказалось, что сайт работает на CMS MWDSoft (название честно говоря немного отпугивает), система написана веб-студией для реализации на ней собственных проектов. Ознакомившись с их портфолио, я так же был немного удивлен — ими разработано несколько десятков сайтов схожей степени важности, такие как: Адвакатская палата Республики, Управление Росздравнадзора по Республике, Федеральная служба по труду и занятости по Республике, множество крупных ОАО и т.д.

Цена на такой сайт (по прайсу разработчика) колеблется в диапазоне от 15 до 35 т.р., но что-то мне подсказывает что партия ЕдРо по данному региону заплатила гораздо большую сумму за свой сайт.

К чему могут привести такие уязвимости на сайте(фактически открытая дверь):

  • Взлом сайта и кража всего содержимого базы данных, причем в БД могут быть персональные данные пользователей.
  • Добавление на сайт любой ложной информации
  • Залив на сайт вредоносных программ, вирусов, троянов и прочего с целью дальнейшего распространения его — заражение пользователей, посетителей сайта
  • И еще много чего, на что хватит фантазии, например рассылка спама через sendmail, функцию mail(), от имени сайта партии с любым текстом.

Уважаемые читатели, что думаете по этому поводу?  Бюджет освоили, а на остальное забили?

П.С, Перед написанием этого поста отправил письмо с сообщением о уязвимости на адрес электронной почты администратора партийного сайта и разработчикам CMS MWDSoft.

UPD: Прошло двое суток, реакция администрации сайта нулевая, реакция разработчиков аналогична.

UPD 2: Спустя чуть более двух суток пришел ответ от администрации сайта, уязвимость прикрыли.

1 Comment to “Региональный сайт партии «Единая Россия» работает на дырявой CMS MWDSoft”

  • Артем 30.08.2013 в 10:35 пп

    Аналогично было с Ивановским отделением Едра. Сначала сайт был сделан на джумлоподобной самописке, которую благополучно поломали. Потом переделали на битриксе.

Оставить комментарий

Консультации

Последние вопросы
Меню

Archive

Качественный хостинг сайтов CMS Для сайта услуг хостинга