14 августа воскресенье
ДОЛЛАР 60.9 0.28
ЕВРО 62.54 0.02
ЮАНЬ 90.4 0.34
ФУНТ 74.46 0.14
SBER
0 ₽ 0.00
Yandex
0 ₽ 0.00
Mail.Ru Group
0 ₽ 0.00
Ростелеком
0 ₽ 0.00
QIWI
0 ₽ 0.00
Ozon
0 ₽ 0.00

На портале Госуслуг устранены выявленные уязвимости

Лента новостей
4 декабря 2021, Юлия Агапова | 👁 14518

На портале Госуслуг устранены выявленные уязвимости

На портале Госуслуг были выявлены две уязвимости. Они связаны с использованием Covert Redirect или скрытой переадресации. Об этом сообщил Telegram-канал «T.Hunter» 28 ноября.

Редирект — перенаправление пользователя с одного URL на другой. Так, мошенники могут создать ссылку, которая действительно будет начинаться с адреса Госуслуг. С Госуслуг пользователя автоматически перенаправляет на подставной сайт, созданный злоумышленниками.

Также «T.Hunter» в своём посте указал, что платформа подверглась атакам XSS(SSRF). Однако представители портала Госуслуги признали уязвимость частично:
«…только open redirect, а возможности угона, XSS и SSRF тем более — нет», — добавили в публикации.

Как отметил основатель и владелец российской компании «Интернет-Розыск» Игорь Бедеров, XSS — вид атаки на клиентов веб‑приложения. Так, в браузере пользователя может быть исполнен произвольный код, который подготовил злоумышленник.

SSRF-атака — атака на сервер компьютерной сети. С ее помощью злоумышленник получает возможность отправлять запросы от имени скомпрометированного хоста.

«Редирект — это уязвимость невысокого уровня. Все они были устранены порталом. Госуслуги дали обратную связи о том, что с XSS(SSRF) они не столкнулись при ее устранении. Возможно, это было предположение или недоработка того лица, которое проводило исследование портала и опубликовало новость», — прокомментировал ситуацию эксперт.

По его словам, нечто подобное уже выявлялось в сентябре. Тогда Госуслуги смогли закрыть возможность редиректа спустя несколько часов после его появления, о чем писал Telegram-канал «T.Hunter» в посте от 15 сентября.

Говоря о том, как пользователям обезопаситься от новой уязвимости, Игорь Бедеров посоветовал в обязательном порядке поставить на аккаунт двухфакторную идентификацию, а также не хранить пароль от сервиса в браузере.
«Для хранения паролей лучше использовать внешний менеджер паролей», — заключил эксперт.

В пресс-службе Минсвязи не ответили на запрос Рунет.

Новости smi2.ru
Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.