Региональный сайт партии «Единая Россия» работает на дырявой CMS MWDSoft

Author Роман Чернышов    Category CMS, PHP     Tags , Комментариев 1 Дата 30 Янв

adro Региональный сайт партии Единая Россия работает на дырявой CMS MWDSoftГуляя на досуге по просторам сети, в поисках приключений, я наткнулся на региональный сайт партии «Единая Россия» (Республика Марий Эл). Все как и следовало ожить: красно-сине-белые тона дизайна, новости и статьи из области политики, фотографии, различные документы и прочее. Бегло просмотрев несколько статей, я уже было засобирался уходить, вКонтакте в местном клубе ждали две симпатичные блондинки. Но по привычке перед уходом с сайта, я обратил внимания на URL страницы…

Он выглядел следующим образом (т.е. вполне нормально):

site-example.ru/newsline.htm?ownrubric_id=3

Добавив одинарную кавычку ( ‘ ) в конец урла сайта и нажав Enter меня ждал умопомрачительный сюрприз, такого я не как не ожидал от регионального сайта партии ЕдРа. На сайте произошел сбой: передаваемые данные в этом параметре очевидно не как не фильтровались и напрямую подставлялись в строку запроса к mySQL серверу.

Проблема не нова, и весьма известна и распространена среди новичков, экспериментаторов, школьников или кого там еще? — но не как не для сайта такого уровня.

Привожу скриншот того, что выдал сайт:

12 300x273 Региональный сайт партии Единая Россия работает на дырявой CMS MWDSoft

Как видно, сайт не только упал в «даун» и выдал текст SQL запроса, а так же еще выдал распечатку переменной среды сервера и  список подключаемых файлов.

В распечатке отображается много чего интересно, начиная от Docoment Root и заканчивая SCRIPT_FILENAME. Таким образом предоставляя нам не только возможность выполнения SQL Injection, но еще и предоставляет нам множество полезных сведений для нанесения атаки.

Но разумеется этого делать я не стал, а вот изучить CMS на которой он работает мне захотелось поглубже. В результате оказалось, что сайт работает на CMS MWDSoft (название честно говоря немного отпугивает), система написана веб-студией для реализации на ней собственных проектов. Ознакомившись с их портфолио, я так же был немного удивлен — ими разработано несколько десятков сайтов схожей степени важности, такие как: Адвакатская палата Республики, Управление Росздравнадзора по Республике, Федеральная служба по труду и занятости по Республике, множество крупных ОАО и т.д.

Цена на такой сайт (по прайсу разработчика) колеблется в диапазоне от 15 до 35 т.р., но что-то мне подсказывает что партия ЕдРо по данному региону заплатила гораздо большую сумму за свой сайт.

К чему могут привести такие уязвимости на сайте(фактически открытая дверь):hs Региональный сайт партии Единая Россия работает на дырявой CMS MWDSoft

  • Взлом сайта и кража всего содержимого базы данных, причем в БД могут быть персональные данные пользователей.
  • Добавление на сайт любой ложной информации
  • Залив на сайт вредоносных программ, вирусов, троянов и прочего с целью дальнейшего распространения его — заражение пользователей, посетителей сайта
  • И еще много чего, на что хватит фантазии, например рассылка спама через sendmail, функцию mail(), от имени сайта партии с любым текстом.

Уважаемые читатели, что думаете по этому поводу?  Бюджет освоили, а на остальное забили?

П.С, Перед написанием этого поста отправил письмо с сообщением о уязвимости на адрес электронной почты администратора партийного сайта и разработчикам CMS MWDSoft.

UPD: Прошло двое суток, реакция администрации сайта нулевая, реакция разработчиков аналогична.

UPD 2: Спустя чуть более двух суток пришел ответ от администрации сайта, уязвимость прикрыли.

1 Comment to “Региональный сайт партии «Единая Россия» работает на дырявой CMS MWDSoft”

  • Артем 30.08.2013 в 10:35 пп

    Аналогично было с Ивановским отделением Едра. Сначала сайт был сделан на джумлоподобной самописке, которую благополучно поломали. Потом переделали на битриксе.

Оставить комментарий

Консультации

Консультант Чернышов Р.В. Зайдайте вопрос на любую из тем:
Бесплатно и без регистрации!

Задать вопрос
Все вопросы
Последние вопросы
Поиск по блогу
Категории
Архив
Новое на сайте
Портфолио Все работы

www.detskiy-mir.net
www.detskydoctor.ru
www.betelit.ru
www.all-alliance.ru
www.videogonok.ru
www.carpfishing.by
www.property-greek.com
www.domcons.ru

с 2009 года по сегодняшний день, создано более 300 сайтов...