Региональный сайт партии «Единая Россия» работает на дырявой CMS MWDSoft

Автор: Роман Чернышов    Опубликовано: 30 января 2012

Гуляя на досуге по просторам сети, в поисках приключений, я наткнулся на региональный сайт партии «Единая Россия» (Республика Марий Эл). Все как и следовало ожить: красно-сине-белые тона дизайна, новости и статьи из области политики, фотографии, различные документы и прочее. Бегло просмотрев несколько статей, я уже было засобирался уходить, вКонтакте в местном клубе ждали две симпатичные блондинки. Но по привычке перед уходом с сайта, я обратил внимания на URL страницы…

Он выглядел следующим образом (т.е. вполне нормально):

site-example.ru/newsline.htm?ownrubric_id=3

Добавив одинарную кавычку ( ‘ ) в конец урла сайта и нажав Enter меня ждал умопомрачительный сюрприз, такого я не как не ожидал от регионального сайта партии ЕдРа. На сайте произошел сбой: передаваемые данные в этом параметре очевидно не как не фильтровались и напрямую подставлялись в строку запроса к mySQL серверу.

Проблема не нова, и весьма известна и распространена среди новичков, экспериментаторов, школьников или кого там еще? — но не как не для сайта такого уровня.

Привожу скриншот того, что выдал сайт:

Как видно, сайт не только упал в «даун» и выдал текст SQL запроса, а так же еще выдал распечатку переменной среды сервера и  список подключаемых файлов.

В распечатке отображается много чего интересно, начиная от Docoment Root и заканчивая SCRIPT_FILENAME. Таким образом предоставляя нам не только возможность выполнения SQL Injection, но еще и предоставляет нам множество полезных сведений для нанесения атаки.

Но разумеется этого делать я не стал, а вот изучить CMS на которой он работает мне захотелось поглубже. В результате оказалось, что сайт работает на CMS MWDSoft (название честно говоря немного отпугивает), система написана веб-студией для реализации на ней собственных проектов. Ознакомившись с их портфолио, я так же был немного удивлен — ими разработано несколько десятков сайтов схожей степени важности, такие как: Адвакатская палата Республики, Управление Росздравнадзора по Республике, Федеральная служба по труду и занятости по Республике, множество крупных ОАО и т.д.

Цена на такой сайт (по прайсу разработчика) колеблется в диапазоне от 15 до 35 т.р., но что-то мне подсказывает что партия ЕдРо по данному региону заплатила гораздо большую сумму за свой сайт.

К чему могут привести такие уязвимости на сайте(фактически открытая дверь):

• Взлом сайта и кража всего содержимого базы данных, причем в БД могут быть персональные данные пользователей.
• Добавление на сайт любой ложной информации
• Залив на сайт вредоносных программ, вирусов, троянов и прочего с целью дальнейшего распространения его — заражение пользователей, посетителей сайта
• И еще много чего, на что хватит фантазии, например рассылка спама через sendmail, функцию mail(), от имени сайта партии с любым текстом.

Уважаемые читатели, что думаете по этому поводу?  Бюджет освоили, а на остальное забили?

П.С, Перед написанием этого поста отправил письмо с сообщением о уязвимости на адрес электронной почты администратора партийного сайта и разработчикам CMS MWDSoft.

UPD: Прошло двое суток, реакция администрации сайта нулевая, реакция разработчиков аналогична.

UPD 2: Спустя чуть более двух суток пришел ответ от администрации сайта, уязвимость прикрыли.

CMS, PHP     cms, исследования