… on the other hand…

Don't click here!
The Turtle
My CV.

ГУВД и благодарность

by Dima on 08/04/2010

Еще в прошлом году, занимаясь анализом сайта http://www.hlebprom.ru/ я нашел уязвимость. Анализ я проводил в рамках работы над коммерческим предложением, потому сразу рассказал о проблеме владельцу сайта и там проблему закрыли.
Из любопытства я посмотрел другие сайты, сделанные той же компанией. Оказалось, что на всех присутствует дыра.
Уязвимость примитивная. SQL Injection в самом классическом виде.
Проблема заключалась в том, что клиенты у компании довольно серьезные. Так, уязвимость была на сайте http://www.guvd74.ru/
Писать напрямую администратору сайта мне не хотелось и я попытался передать через знакомых из Московского УВД. ЗА год мое сообщение так и не дошло. Я решил, что возможность размещать новости, менять разыскиваемых и творить всякие прочие безобразия – это опасно. И таки написал в ГУВД через форму обратной связи на том-же сайте.
Через неделю мне пришло письмо от менеджера компании-разработчика сайта. Я описал ей проблему, сказал несколько общественно-значимых сайтов, на которых проблема присутствует. Получил от нее спасибо.
Дыру закрыли.
Но от самого ГУВД я не получил даже спасибо за сообщение. Интересно, они правда считают, что такая манера ответов на сообщения через форму обратной связи способствует улучшению имиджа милиции? В общем, ожидаемо, но неприятно. Желание помогать отпадает.

Leave a Reply

Your email address will not be published. Required fields are marked *