Защищенность правительственных сайтов

В процессе подготовки к семинару про тестирование защищенности веб-приложений, который состоится в ближайший четверг, решил пройтись по сайтам министерств, федеральных агентств и служб, чтобы посмотреть, как там обстоят дела с защищённостью.

При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них:

- 5 сайтов подвержены пассивному XSS,
- 1 сайт подвержен слепой SQL-инъекции,
- 1 сайт подвержен SQL-инъекции с возможностью внедрения UNION,
- 3 сайта раскрывают некоторые детали внутреннего устройства, из них 2 предоставляют доступ к phpinfo, а 1 выдаёт сообщения об ошибках с отладочной информацией,
- 1 сайт подвержен внедрению команд, это наиболее серьёзная проблема из всех, что мне встретились.

В общем, я бы не сказал, что всё плохо, несмотря на наличие отдельных проблем.

Тематики:

Ключевые слова: веб-сайт, информационная безопасность