Каждый мог авторизоваться на сайте Законодательства России и добавить свой закон

Дата: 22.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности

Официальный сайт Законодательства России (http://pravo.gov.ru/) имел серьезную уязвимость – авторизоваться на портале можно было через стандартную связку логина и пароля – admin/admin. После авторизации перед пользователем открывались безграничные возможности – можно было добавить свой закон, акт и другие нормы, указав всю расширенную информацию.

На официальном сайте Законодательства России была обнаружена серьезная уязвимость – доступ к панели управления веб-ресурсом можно было получить за счет ввода admin/admin в окне авторизации в поле логина и пароля. После авторизации пользователь получал полные администраторские права на ресурсе.

Об обнаружении уязвимости сообщил Александр Литреев, руководитель компании Vee Security Russia. В своем твиттер-аккаунте он рассказал о том, что ему удалось без проблем авторизоваться на сайте Законодательства России со стандартными логином и паролем. В качестве подтверждения своих слов специалист приложил 15-секундное видео, на котором хорошо видно, как удается без проблем пройти авторизацию и получить права администратора.

На сайте Законодательства России опубликованы последние законы (сразу после того, как они будут подписаны президентом), а также новые постановления российского правительства.

«Легкий доступ на сайты государственных структур и другие официальные веб-ресурсы – это крайне распространенная проблема, даже в текущем 2021 году. Я могу назвать еще как минимум четыре сайта крупных федеральных госструктур, которые имеют аналогичную проблему с получением такого простого доступа к панели управления порталом. Надо понимать, что подобное отношение к безопасности официальных государственных сайтов может привести к чудовищным последствиям», – отметил Александр Литреев.

Александр Литреев также отметил, что после получения полного доступа к панели управления сайтом Законодательства России в него «можно было внести крайне деструктивные изменения».

На момент написания статьи уязвимость была исправлена – сейчас на сайте Законодательства России по логину и паролю admin/admin зайти уже не получится.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *