Vlákno názorů k článku Akce Kulový blesk aneb Jednotná státní doména gov.cz žije od Filip Jirsák - Chyba to samozřejmě je. Nicméně 1. jak to...

Chyba to samozřejmě je. Nicméně 1. jak to souvisí s phishingem? 2. jak by bylo možné tu chybu zneužít? Bavíme se o běžném používání z webového prohlížeče – pokud někoho přesvědčíte, aby si spustil třeba curl s vámi dodanými parametry, pak buď těm parametrům rozumí a uvidí, že ho chcete podvést, nebo jim nerozumí, a pak mu stejně můžete podstrčit naprosto cokoli.

Asi bychom meli usporadat soutez. Namisto praskle lupy ... tema by bylo "najdete web statni spravy, ktery nehackne male dite po 5 minutach googleni nejakeho trivialniho scriptu" ...

Nebylo by to organizacne nijak narocne, protoze pocet by se limitne blizil nule.

A tento stat, chce soukromym firmam diktovat, jak ma vypadat jejich bezpecnost.

Phishing tam žije i nyní. Jen trochu mazanější. Vezměte třeba aplikaci Anonymizace (anonymizace.gov­.cz). Uploadují do ní PDF-ka, aby si udělali online redigování. Kdoví, kam ta PDF-ka vlastně chodí...

Zkuste serveru anonymizace.gov.cz poslat (/crossroad je třeba zachovat, ale cestu si na webu ve své doméně vyrobí každý):
GET /crossroad?ur­l_injection="y­es" HTTP/1.1
Host: neanonymizace­.hostinjection­.ru

a skončíte na:
HTTP/1.1 302 Found
Date: Fri, 18 Aug 2023 19:57:35 GMT
Server: Qintegra
X-Powered-By: Tomahawk
Location: https://neanonymizace.hostinjection.ru/crossroad/?url_injection="yes"

Jak vidíte, čas je dnešní. Doména gov.cz je opravdu skvělou obranou proti phishingu. Prostě bezpečnost ala státní správa, nově servírovaná jako přínos DIA na pomoc občanům. Doména sama má určitý vliv, ale většinou jen na ty nejtriviálnější postupy. Nemluvě o dalších bezpečnostních dírách. Třeba cross-site scriptingu, který je ve stejné aplikaci také (návod k němu sem dávat nechci, bylo by to příliš).

18. 8. 2023, 22:07 editováno autorem komentáře