Региональный сайт партии «Единая Россия» работает на дырявой CMS MWDSoft

Author Роман Чернышов    Category CMS, PHP     Tags , Комментариев 1 Дата 30 Янв

adro Региональный сайт партии Единая Россия работает на дырявой CMS MWDSoftГуляя на досуге по просторам сети, в поисках приключений, я наткнулся на региональный сайт партии «Единая Россия» (Республика Марий Эл). Все как и следовало ожить: красно-сине-белые тона дизайна, новости и статьи из области политики, фотографии, различные документы и прочее. Бегло просмотрев несколько статей, я уже было засобирался уходить, вКонтакте в местном клубе ждали две симпатичные блондинки. Но по привычке перед уходом с сайта, я обратил внимания на URL страницы…

Он выглядел следующим образом (т.е. вполне нормально):

site-example.ru/newsline.htm?ownrubric_id=3

Добавив одинарную кавычку ( ‘ ) в конец урла сайта и нажав Enter меня ждал умопомрачительный сюрприз, такого я не как не ожидал от регионального сайта партии ЕдРа. На сайте произошел сбой: передаваемые данные в этом параметре очевидно не как не фильтровались и напрямую подставлялись в строку запроса к mySQL серверу.

Проблема не нова, и весьма известна и распространена среди новичков, экспериментаторов, школьников или кого там еще? — но не как не для сайта такого уровня.

Привожу скриншот того, что выдал сайт:

12 300x273 Региональный сайт партии Единая Россия работает на дырявой CMS MWDSoft

Как видно, сайт не только упал в «даун» и выдал текст SQL запроса, а так же еще выдал распечатку переменной среды сервера и  список подключаемых файлов.

В распечатке отображается много чего интересно, начиная от Docoment Root и заканчивая SCRIPT_FILENAME. Таким образом предоставляя нам не только возможность выполнения SQL Injection, но еще и предоставляет нам множество полезных сведений для нанесения атаки.

Но разумеется этого делать я не стал, а вот изучить CMS на которой он работает мне захотелось поглубже. В результате оказалось, что сайт работает на CMS MWDSoft (название честно говоря немного отпугивает), система написана веб-студией для реализации на ней собственных проектов. Ознакомившись с их портфолио, я так же был немного удивлен — ими разработано несколько десятков сайтов схожей степени важности, такие как: Адвакатская палата Республики, Управление Росздравнадзора по Республике, Федеральная служба по труду и занятости по Республике, множество крупных ОАО и т.д.

Цена на такой сайт (по прайсу разработчика) колеблется в диапазоне от 15 до 35 т.р., но что-то мне подсказывает что партия ЕдРо по данному региону заплатила гораздо большую сумму за свой сайт.

К чему могут привести такие уязвимости на сайте(фактически открытая дверь):hs Региональный сайт партии Единая Россия работает на дырявой CMS MWDSoft

  • Взлом сайта и кража всего содержимого базы данных, причем в БД могут быть персональные данные пользователей.
  • Добавление на сайт любой ложной информации
  • Залив на сайт вредоносных программ, вирусов, троянов и прочего с целью дальнейшего распространения его — заражение пользователей, посетителей сайта
  • И еще много чего, на что хватит фантазии, например рассылка спама через sendmail, функцию mail(), от имени сайта партии с любым текстом.

Уважаемые читатели, что думаете по этому поводу?  Бюджет освоили, а на остальное забили?

П.С, Перед написанием этого поста отправил письмо с сообщением о уязвимости на адрес электронной почты администратора партийного сайта и разработчикам CMS MWDSoft.

UPD: Прошло двое суток, реакция администрации сайта нулевая, реакция разработчиков аналогична.

UPD 2: Спустя чуть более двух суток пришел ответ от администрации сайта, уязвимость прикрыли.

1 Comment to “Региональный сайт партии «Единая Россия» работает на дырявой CMS MWDSoft”

  • Артем 30.08.2013 в 10:35 пп

    Аналогично было с Ивановским отделением Едра. Сначала сайт был сделан на джумлоподобной самописке, которую благополучно поломали. Потом переделали на битриксе.

Оставить комментарий

О блоге и авторе

Добро пожаловать на блог веб-разработчика! На протяжении многих лет, начиная с 2009 года, я занимаюсь созданием специализированных сайтов, сервисов и крупных веб-порталов. Мною было создано несколько сотен сайтов, большинство из которых работают на ПО созданном под заказ, а также на готовом ПО которое я разрабатываю на протяжении всего периода моей деятельности. Это: CMS "Совместные покупки", CMS "osRealty", CMS "Спорт прогнозы" и многое другое.

На страницах моего блога вы найдете множество информации о программировании, о появлении новых разработок, сможете ознакомиться с товарами и услугами которые я предоставляю. А также сможете получить консультацию, заказать разработку сайта или приобрести готовое решение, для реализации собственного проекта.

Поиск по блогу
Категории
Архив
Новое на сайте
Блогеры пишут
  • Роман Чернышов: Для работы капчи на PHP 5.6, замените в файле class.captcha.php строку 264 $ifunc( $this -> i [...]
  • Роман Чернышов: Схема такая: 1) На сайте есть виртуальные кошельки (далее ВК) 2) При пополнении пользователем ВК, [...]
  • Александр: Может скрипт комментариев блокирует сообщения с кодом? Или как длинный текст не проходит?
  • Александр: Пытаюсь в который раз здесь показать код, но страница обновляется, и не сообщения, ни любого оповеще [...]
  • Роман Чернышов: Лично у меня интерес к продаже ссылок пропал уже давно. Преимущество сапы, это то - что ссылки можно [...]
Портфолио Все работы


www.detskiy-mir.net
www.detskydoctor.ru
www.betelit.ru
www.all-alliance.ru
www.videogonok.ru
www.carpfishing.by
www.property-greek.com
www.domcons.ru

с 2009 года по сегодняшний день, создано более 300 сайтов...