ANTICHAT — форум по информационной безопасности, OSINT и технологиям

На официальном сайте Организации объединенных наций по-прежнему не закрыта уязвимость, которая более чем два года тому назад позволила хакерам-активистам заменить официальный контент своими собственными посланиями.

По словам главы Errata Security Роба Грэхема, уязвимость к SQL-инъекции, которая была на сайте в августе 2007 года, до сих пор не исправлена. Эксплуатируется она простым добавлением паразитного символа к параметру ASP в ссылке на un.org, например:

http://www.un.org/apps/news/infocus/sgspeeches/statments_full.asp?statID=10'5

Грэхем пишет, что несмотря на то, что исправить баг за пять минут способен даже выпускник школы, бюрократизм организации означает, что на решение проблемы требуется потратить десятки тысяч долларов. С другой стороны, цена НЕ решения данного вопроса мала – ООН может просто подчищать сайт после каждого взлома.

Добавим лишь, что в 2007 году активисты использовали дыру на веб-сайте ООН под управлением Apache для того, чтобы заменить тексты выступлений Генерального секретаря этой организации Пан Ги Муна пацифистскими заявлениями. Впрочем, представить себе, как этот же баг используют киберпреступники для перенаправления пользователей на содержащие эксплоиты опасные ресурсы, совсем не трудно.

На данный момент все запросы на официальные комментарии со стороны ООН остаются без ответа.


--------------------------------
источник http://www.xakep.ru/post/49203/default.asp