Piedāvāju uzlauzt serveri

SIA "Odo" kārtējā projektā ir izstrādāta tīmekļa vietne, kurā tiek piedāvāti elektroniskie pakalpojumi (dažādu pieteikumu iesniegšana) Carnikavas novada pašvaldībai.

Kā vairākās Latvijas valsts institūciju vietnēs, tajā var pieteikties, izmantojot internetbanku un tā ir publiski pieejama testa vidē.

Tā kā neatbalstu drošība no nezināšanas principu, aicinu visus interesentus pārbaudīt vietnes uzticamību.

Laušanas pamatsoļi ir parādīti sekojošajā video:

 Var arī mēģināt "iesmērēt" nepareizus datus ievadformās, izmantojot pārlūkprogrammas HTML koda rediģēšanas iespējas (standarta iespēja — labais klikšķis uz formas elementa un Izmeklēt.

Formu datu (un Javascript skriptu) laušanai noderēs Firefox Firebug spraudnis.

Tie, kas sistēmu nevēlas testēt tikai kā melno kasti, var pārbaudīt, validēt vai testēt kodu, it sevišķi STSTokenValidator.java failu. Iesniegumu datu validācija tiek veikta attiecīgo formu ..ValidationGroovy skriptos vietā. Ja tīmekļa adresei pievieno ?viewer=code, tad var redzēt arī formu izskata (..Sheet) failu saturu.

Sistēmas uzstādīšana (un XWiki drošības iestatījumi) ir aprakstīti: Projektejuma_apraksts.odt.

Tā kā serverim ir tikai 512MB operatīvās atmiņas (skatiet Munin pārraudzības datus), tas nav drošs pret t.s. pakalpojumatteices (DoS — denial of service) uzbrukumu. Pārāk intensīvi to lietojot, tas var "uzkārties", tāpēc ir ieplānots crontab uzdevums, kas ik pēc 10min pārbaude Tomcat lietojumservera darbību, un, ja tas neatsaucās, pārstartē to.

Tā kā iepriekšējais piedāvājums beidzās bez rezultātiem, šoreiz tiek nodrošināts balvu fonds.

3. vieta — pieteikuma formas apmānīšana

Piesakoties kā reālam lietotājam, izdodas iesniegt pieteikumu kā lietotājam Dullais Dauka, p.k. 123123-12312.

Balva: Ādažu čipsu paka un 3 "Linux vienmēr gatavs" uzlīmes.

2. vieta — autentifikācijas apmānīšana

Izdodas pieteikties kā lietotājam Dullais Dauka, p.k. 123123-12312 un izveidot attiecīgu iesniegumu.

Balva: 2 Ādažu čipsu pakas, 1l kolas, un 10 "Linux vienmēr gatavs" uzlīmes.

1. vieta — Linux servera uzlaušana

Uz servera tiek izdzēsta XWiki sistēma, adresē tiek ievietots "Windows foreva!" ziņojums.

Balva: 4 Ādažu čipsu pakas, 2l kolas, neviena "Linux vienmēr gatavs" uzlīme.

Tā kā sistēma tiek izstrādāta kā atvērtā pirmkoda programmatūra, pēc projekta nodošanas būs pieejami arī citi vietnes uzstādīšanai nepieciešamie faili un instrukcijas.

Atsauksmes un ierosinājumus lieciet šeit komentāros.

Vēlu veiksmi!

Tags Drošība Latvija
Created by Valdis Vītoliņš on 2013-06-04 15:53
Last modified by Valdis Vītoliņš on 2021-04-13 14:27
 
Xwiki Powered
Creative Commons Attribution 3.0 Unported License