Хакнуть Госуслуги – можно, если очень нужно


Страницы: (4) 1 2 [3] 4	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

anikifya

15.01.2019 - 18:12

Статус: Offline

Ярила

Регистрация: 20.04.10
Сообщений: 6911

Цитата

Сразу скажу, противозаконного ничего совершено не было, иначе бы эта статья не появилась.

Да.
Ты не виноват.
Но сам подумай - что проще, создавать инцидент, править код на сервере, или просто убрать всех свидетелей

[^]

~~НечтоИзСети~~

16.01.2019 - 02:47

Статус: Offline

Ярила

Регистрация: 29.11.14
Сообщений: 1961

Цитата (Jammardu @ 15.01.2019 - 16:50)

VampirBFW ошибки есть везде. Система слишком инерциальна, чтобы сразу реагировать на такие "косяки".

Это косяк проектирования, а не кодирования. То есть, самого раннего этапа разработки. Проверка критических данных, а серия-номер документа к таковым относится, должно проверяться и в бэк-энде на сервере тоже, дабы избежать таких вот подмен.

[^]

сибиряк17

16.01.2019 - 06:26

Статус: Offline

Весельчак

Регистрация: 13.07.17
Сообщений: 165

Цитата (НечтоИзСети @ 16.01.2019 - 06:47)

Цитата (Jammardu @ 15.01.2019 - 16:50)

VampirBFW ошибки есть везде. Система слишком инерциальна, чтобы сразу реагировать на такие "косяки".

Нууууу, возможно, в каких-то документах, серия только текст, в каких-то только число, ну а где-то и то и другое, а сущность в БД одна, соответственно тип поля в базе текстовый. Поэтому господа разработчики, аналитиги и кодеры сделали проверку на клиенте, дабы не заморачиваться со всякими типами документов и в зависимости от типа делать валидацию на стороне сервера приложения, обычные гавнофедеральные разрабы, остается только

[^]

дедПигто	16.01.2019 - 14:32 [ показать ] 1
Статус: Offline Шутник Регистрация: 9.02.11 Сообщений: 39	если что, скажи это не я, это вот он )
	[^]

ДеловаяРусь	16.01.2019 - 14:54 [ показать ] 0
Статус: Offline Ярила Регистрация: 27.09.16 Сообщений: 3740	ну и какой смысл был в этом?
	[^]

Galant78	16.01.2019 - 14:55 [ показать ] 2
Статус: Offline Шутник Регистрация: 15.03.16 Сообщений: 21	Госуслуги вообще помойка знатная.Мой случай .Приходит оповещение на мыло мол так и так с вашего номера телефона попытались зарегать акк на госуслугах приостанавливаем работу действующего аккаунта.Я в ахуях захожу в свой акк через форму восстановления пароля ,а там уже данные какой-то левой тетки с ее именем и фамилие паспортом и снилсом. Внятного по ситуации мне саппорт ничего ответить не смог,кроме того что я видите ли теперь не по номеру телефона должен входить в свой акк а по снилсу.
	[^]

VicBeard	16.01.2019 - 15:09 [ показать ] 0
Статус: Online Ярила Регистрация: 13.07.17 Сообщений: 14068	...
	[^]

Bratelly

16.01.2019 - 15:19

Статус: Offline

Балагур

Регистрация: 7.11.15
Сообщений: 994

Цитата

ст 272 УК РФ
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

Это ж надо так вот просто раз и сознался под карандаш

[^]

3dkiller

16.01.2019 - 15:39

Статус: Offline

Весельчак

Регистрация: 1.02.18
Сообщений: 190

Цитата (VampirBFW @ 15.01.2019 - 16:44)

Из такого поведения я сделал единственно возможный вывод – данные ошибки закэшировалась где-то, возможно в какой-нибудь глобальной переменной. Где именно – у меня не было ни времени, ни желания разбираться, и я попробовал просто обновить страницу, изменить код элемента нашего input’а, как было указано выше, и попробовать ещё раз пройти эту проверку. И на этот раз всё получилось.

Электронное заявление на Госуслугах таким образом я оформил, и водительские права заменил.

Резюме из данной истории каждый может сделать самостоятельно. Я – не веб-программист, как уже указал выше. Возможно, эту проблему можно было решить гораздо быстрее и проще. Но суть-то не в этом. Лично меня удивляет, что на одном из крупнейших официальных государственных порталов есть возможность подмены данных. Пусть даже это оказалось для меня как нельзя кстати.

Это же можно спокойно обработать проверкой в бэк-энде, как это теоретически и должно делаться. Ведь в теории и в каком-нибудь онлайн-банке возможна такая же примитивная инъекция данных.

Дорогие посетители ресурса, мне было бы очень интересно получить мнения тех, кто уже сталкивался с подобными случаями, а также примеры из практики.

Пруф

Как обычно, сайт которым пользуются большая часть населения страны не имеет проверки корректности обратной заполняемости форм. Ловкусть рук и можно любое отделение нахуй послать.

ты изменил только визуализуцию, сам для себя, при отправке формы происходит проверка уже на php уровне, куда твои рученки не долезут.
Пост гавно, написал о чем не понимает.

[^]

~~глядетель~~	16.01.2019 - 15:41 [ показать ] 0
Статус: Offline Балагур Регистрация: 21.09.11 Сообщений: 921	алчный беларус - это пять!
	[^]

Skatik	16.01.2019 - 15:42 [ показать ] 0
Статус: Offline Весельчак Регистрация: 21.03.16 Сообщений: 160	Обколются этой своей коноплёй и давай химичить . А мы тут голову ломай
	[^]

~~ralfhome~~	16.01.2019 - 15:52 [ показать ] 2
Статус: Offline Ярила Регистрация: 13.08.11 Сообщений: 4022	Вот что бывает, когда в хроме случайно нажал F12
	[^]

Daffs	16.01.2019 - 15:57 [ показать ] 0
Статус: Offline Весельчак Регистрация: 29.12.16 Сообщений: 177	Пять баллов
	[^]

~~глядетель~~	16.01.2019 - 16:01 [ показать ] 0
Статус: Offline Балагур Регистрация: 21.09.11 Сообщений: 921	фото замененных прав можно увидеть?
	[^]

mister007

16.01.2019 - 16:02

Статус: Offline

Ярила

Регистрация: 29.09.14
Сообщений: 11018

Цитата (ЗлойПрапор @ 15.01.2019 - 16:48)

А в наши выборы там никак процентовку поменять нельзя вместо 76%?

Че те выборы !?
Сразу редактируй указы, в канцелярии и все дела !

Отправлено с мобильного клиента YAPik+

[^]

~~глядетель~~	16.01.2019 - 16:07 [ показать ] 0
Статус: Offline Балагур Регистрация: 21.09.11 Сообщений: 921	я сначала прочитал "хапнуть госуслуги ..."
	[^]

~~Amok555~~

16.01.2019 - 16:25

Статус: Offline

Ярила

Регистрация: 29.04.08
Сообщений: 16474

Цитата (dva2 @ 15.01.2019 - 16:49)

Какое нахуй отделение куда ты пошлешь? Сайт госуслуги не выдает документов и денег. Ну запихал ты им свое заявление - и что? С этим заявлением работает чиновник, который увидев в твоем заявлении что то, что ему не понравится - просто его нахуй пошлет. Вот и весь результат хакинга.

Да но в данном случае ошибок - нет. Просто сайт не давал сделать то, что должен был сделать. В данном случае - прокатит.

[^]

~~skrapy~~	16.01.2019 - 16:30 [ показать ] 0
Статус: Offline Ярила Регистрация: 3.02.10 Сообщений: 9893	Потому что все гос сайты делает косорукий, больной на голову программист через жопу и гланды обкурившись палёной марьиванны.
	[^]

Alexeykov	16.01.2019 - 17:17 [ показать ] 0
Статус: Offline Ярила Регистрация: 12.05.12 Сообщений: 12136	Я как-то тоже решил получить жировку ЖКХ за месяц который еще не окончился. Ну примерно такими же методами добавил нужный месяц в список и отправил запрос на обработку. Следующие 2 дня никто в районе не мог получить жировку за ЖКХ ни за какой месяц. Вот так я стал героем анекдота: — А у меня вчера друг за пять минут сервер сломал. — Он что, хакер? ?! — Он муд@к! !
	[^]

VampirBFW

16.01.2019 - 17:51

Статус: Online

Главный Сапиосексуал Япа.

Регистрация: 20.02.10
Сообщений: 18412

Цитата (3dkiller @ 16.01.2019 - 15:39)

Цитата (VampirBFW @ 15.01.2019 - 16:44)

Да хрена там, заявление у чувака ушло с измененными данными с конечной машины клиента.

[^]

ДенисЛарс

16.01.2019 - 17:59

Статус: Offline

Весельчак

Регистрация: 26.08.18
Сообщений: 146

Цитата (Uzbek666 @ 15.01.2019 - 16:48)

так для оформления заявления нужна подтвержденная запись, то есть все-равно надо идти в мфц там или еще куда, так там бы и без этих танцев с бубном сделали учетку сразу.

Тебе же человек русским языком написал: при оформлении заявки через сайт СКИДКА 30%. Внимание - наше фсйо!

А так-то конечно, идти придётся.

Это сообщение отредактировал ДенисЛарс - 16.01.2019 - 18:03

[^]

House1	16.01.2019 - 18:04 [ показать ] 0
Статус: Offline Балагур Регистрация: 8.02.12 Сообщений: 865	А не проще ли было до МФЦ дотопать? Я бы уже давно бы психанул Это сообщение отредактировал House1 - 16.01.2019 - 18:04
	[^]

astrodeep

16.01.2019 - 18:08

Статус: Offline

Ярила

Регистрация: 22.01.16
Сообщений: 3164

Цитата (VampirBFW @ 15.01.2019 - 17:41)

Это небольшая история – пример применения технических навыков в обход системы в своих целях.

Краткая предыстория такова – я белорус, живу в Санкт-Петербурге, и решил я заменить имеющиеся у меня российские водительские права. Узнав о скидке в 30% при замене через сайт Госуслуг, я, как алчный белорус, решил сразу этим воспользоваться.

У сайта госуслуг нет серверной проверки? Все на JS))) Ухахаха

[^]

трах	16.01.2019 - 18:11 [ показать ] 0
Статус: Online Ветеран первой холодной Регистрация: 6.05.17 Сообщений: 1470	Нихуя не понял,но словосочетание-"хакнуть госуслуги"-охуенно
	[^]

Bolivar243

16.01.2019 - 18:32

Статус: Offline

Балагур

Регистрация: 30.07.15
Сообщений: 951

Цитата

Потом, в ответ на мою настойчивость, я получил письмо о том, что я иностранный гражданин и вообще не имею права пользоваться данной услугой.

Что тут непонятного-то? И пешком в МФЦ!!!

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 35261
0 Пользователей: