The Diary
Дневникът на Георги
<- Неделя, 2 Май 2004 | Начална страница | Вторник, 4 Май 2004 ->
Понеделник, 3 Май 2004
15:23Днес тъй като нямам какво да правя, реших да поразгледам малко български сайтове. Отдолу ще видите списъка на нещата, който открих. Сайтовете не се подредени в определен ред, просто скачах от връзка на връзка и бърниках по параметрите.
- Медиапул (mediapool.bg) - Може да се свали всеки файл от сървъра до който web сървърът има достъп. На този сървър се хостват доста сайтове като гледам /etc/passwd. Welcome to the jungle, baby :-)
- Стопанската Камара (bia-bg.com) - ползват asp, пълни бози, квото и да направите все се чупи. Две връзки за размисъл: http://b2b.bia-bg.com/include/subs.inc http://b2b.bia-bg.com/include/params.inc
- Регистър на обществените поръчки (http://www1.government.bg/rop/) - SQL Injection (ползват oracle)
- Министерство на финансите (minfin.bg) - SQL Injection, SQL wildcards injection, сървъра може да бъде свален много лесно със "забавни" sql заявки
- ДА "Държавен резерв и военно - временни запаси" (www.statereserve.bg) - SQL Injection, SQL wildcards injection
- МВР (mvr.bg) - Ползват extreme tracker. Смехория. Всеки може да следи кой посещава сайта.
- Парламента (parliament.bg) - SQL Injections (ползват mysql) - оправени са след като съобщих за тях
- index.bg - SQL Wildcards injecton. Имат 5712 записа в базата данни със сайтовете
- index.bg - Този път, проблеми в настройката на сървъра и некъдърно писане - http://www.index.bg/temida/is/ http://www.index.bg/temida/is/testpass.txt - Сами си намерете къде работят тези имена и пароли (не е трудно)
- fresh.bg - SQL Wildcards injecton. Имат 3731 записа в базата
- forum.skycode.com - sql грешки конкретни за asp (integer overflows all over the place), превключването на езика направо си гърми, награда за най-малоумно използване на JavaScript
- f.dir.bg - sql грешки (ползват mysql за този сайт)
Изводът до тук - пълна трагедия, уважаеми читателю. Това е само малка извадка от сайтовете в българското пространство. Общо взето оставам с впечатлението, че ползва ли се някъде нещо, което да генерира динамично страници в над 95% от случаите има проблеми. Явно програмистите се подвеждат по "леснотата", с която се правят web приложения и си спазват нормалният стил на писане, а именно пишат с гъза си.
Друго лошо нещо, което забелязах и то най-вече по сайтовете на държавната администрация (и не само там). Масово се използва JavaScript за щяло и нещяло. За най-елементарни неща като създаване на хипертекстови връзки и изпращане на форми. Всеки който си има поне малко понятие от създаване на web сайтове е наясно, че едно такова използане на JS е БЕЗМИСЛЕНО и просто ограничава потребителите на тези сайтове. Да не говорим, че за хората който не желаят да си включват JavaScript интерпретатора (за по-голяма сигурност /потърсете active content exploit internet explorer в google, преди да ревете/) тези страници са абсолютно недостъпни.
Още едно наблюдение, което няма начин да не направя. Във всеки сайт в който се използваха файлове с разширение .asp (бозаджийска технология), открих проблеми. От SQL Injection до Integer Overflows. За щастие тези сайтове в българското web пространство са малко на брой, но пък глупостта и неграмотността на авторите им е ненадмината. Обикновенно точно на такива сайтове се среща най-големият abuse в ползването на JavaScript.
И накрая няколко добри думи за сайтовете на държавната администрация. или поне за тези, който посетих :) Никъде не видях да ми дават да си свалям .DOC файлове. Където имаше документи за сваляне, бяха HTML или PDF. На един от сайтовете освен PDF предлагаха и RTF. Мога само да поздравя хората, който поддържат тези сайтове за това, че не използват затворени собственически формати.
[ Коментари: 5 ]Коментари
Така, в загадката се пита от кой прословут Български портал, предлагащ безплатна поща /не е извинение, че е безплатна/ е следното съобщенийце: ERROR : Could not complete request.Reason Given: [ALERT] COPY failed - no write permission or out of disk space.
PS: И за да ви улесня малкичко - ще приложа един скрийншот ,дето направо застрелва /беше ми даден от приятел/ http://support.weblinuxhelp.com/pics/gresh4ica.jpg
:-)
Надявам се постинга да не бъде изтрит ! Ако е...здраве и ракия да е :)
Нещастният top.bg и е така от поне седмица. При условие че от две години никой не го е пипал тоя смотан сайт, можеше и да е по-зле (например някой да го дефейсне).
You are really really nuts!
:-)
Яко цензура пада, а?
Disclaimer: Except where otherwise noted all opinions expressed here are personal
opinions of the author and do not reflect official opinions of my employer or
any other person, company or organization associated with the author.
Copyright: Except where otherwise noted the content of this site is licensed under a
Creative Commons Attribution License. Текстът на договора за ползване на български
Copyright (cc) 2003-2011 Georgi Chorbadzhiyski. Some rights reserved.
Comments, texts and pictures not signed by me are property of their respective owners.
Страницата е генерирана от Glog v3.99-test
http://www1.government.bg/rop/ - освен че позволява sql injections - ако отворите сайта (или по точно http://www1.government.bg/rop/view.html) с Опера ще видите:
" Warning: OCIStmtExecute: ORA-00921: unexpected end of SQL command in /opt/apache/share/htdocs/rop/database-oracle.inc on line 85
Error in query! "
Написа luciuz на 03-May-2004 13:37