![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ludenПортал Хабрхабр сообщает об интересной уязвимости сайта .
На этом сайте есть возможность залить (и потом получить доступ) любой статический файл без прохождения процедуры авторизации.
Для этого (по сообщению Хабрхабра) следует перейти по ссылке http://zakupki.gov.ru/pgz/documentform.
Это позволит залить на сайт произвольный статический документ.
Повторюсь, это касается только СТАТИЧЕСКИХ файлов, заливать, например PHP-скрипт туда - бесполезно.
Вот пример использования этой уязвимости:
![[Если эта иллюстрация грузится с ошибкою — значит, вышеописанную проблему, возможно, закрыли.]](https://p2.dreamwidth.org/75051b36bf77/1942105-324429/zakupki.gov.ru/pgz/documentdownload?documentId=39240775)
Адрес её (http://zakupki.gov.ru/pgz/documentdownload?documentId=39240775) позволяет предположить, что все документы, когда-либо залитые на сайт госзакупок, досягаемы прямым перебором номеров их.
Истоник инфы тут.
На этом сайте есть возможность залить (и потом получить доступ) любой статический файл без прохождения процедуры авторизации.
Для этого (по сообщению Хабрхабра) следует перейти по ссылке http://zakupki.gov.ru/pgz/documentform.
Это позволит залить на сайт произвольный статический документ.
Повторюсь, это касается только СТАТИЧЕСКИХ файлов, заливать, например PHP-скрипт туда - бесполезно.
Вот пример использования этой уязвимости:
Адрес её (http://zakupki.gov.ru/pgz/documentdownload?documentId=39240775) позволяет предположить, что все документы, когда-либо залитые на сайт госзакупок, досягаемы прямым перебором номеров их.
Истоник инфы тут.
