Форма отправки обращений на официальном сайте Мингорисполкома содержит ошибку.
Если текст обращения содержит знак одинарной кавычки или обратного слэша, то сервер возвращает ошибку и сообщение не отправляется. Скорее всего, в коде записи в базу данных нет экранирования этих символов. Мало того, что пользователи не могут отправить свои обращения (часто одинарная кавычка используется в качестве апострофа в белорусском языке), это к тому же еще и дыра в безопасности сайта.
При SQL-инъекциях можно с помощью кавычки сначала закрыть строку и завершить текущий запрос, а дальше написать запрос, скажем, выборки всех записей из таблицы пользователей. Можно поменять майл администратора на свой, а дальше сменить пароль администратора на свой, залезть в БД и поставить на главную страницу плохое слово из трех букв :) Ну и так далее, все зависит от фантазии и целей хакера.
Просим исправить проблему.
Количество подписей под петицией:
1
Производится модернизация программного обеспечения интернет-портала Мингорисполкома.
Комментарии (3)
Для просмотра комментариев Вы должны войти на сайт или зарегистрироваться