Официальный сайт Законодательства России имел серьезную уязвимость – авторизоваться на портале можно было через стандартную связку логина и пароля – admin/admin. После авторизации перед пользователем открывались безграничные возможности – можно было добавить свой закон, акт и другие нормы, указав всю расширенную информацию.
На официальном сайте Законодательства России была обнаружена серьезная уязвимость – доступ к панели управления веб-ресурсом можно было получить за счет ввода admin/admin в окне авторизации в поле логина и пароля. После авторизации пользователь получал полные администраторские права на ресурсе.
Об обнаружении уязвимости сообщил Александр Литреев, руководитель компании Vee Security Russia. В своем твиттер-аккаунте он рассказал о том, что ему удалось без проблем авторизоваться на сайте Законодательства России со стандартными логином и паролем. В качестве подтверждения своих слов специалист приложил 15-секундное видео, на котором хорошо видно, как удается без проблем пройти авторизацию и получить права администратора.
На сайте Законодательства России опубликованы последние законы (сразу после того, как они будут подписаны президентом), а также новые постановления российского правительства.
«Легкий доступ на сайты государственных структур и другие официальные веб-ресурсы – это крайне распространенная проблема, даже в текущем 2021 году. Я могу назвать еще как минимум четыре сайта крупных федеральных госструктур, которые имеют аналогичную проблему с получением такого простого доступа к панели управления порталом. Надо понимать, что подобное отношение к безопасности официальных государственных сайтов может привести к чудовищным последствиям», – отметил Александр Литреев.
Александр Литреев также отметил, что после получения полного доступа к панели управления сайтом Законодательства России в него «можно было внести крайне деструктивные изменения».
На момент написания статьи уязвимость была исправлена – сейчас на сайте Законодательства России по логину и паролю admin/admin зайти уже не получится.
Источник:
