Kruczki i luczki na GOV.pl

Pobieżna analiza poziomu zabezpieczeń polskich stron rządowych nie przyniosła optymistycznych wniosków. Przedstawiamy szereg niedociągnięć w zabezpieczeniach polskich serwerów w domenie .gov.pl.

www.prezydent.pl

http://www.prezydent.pl/php/
http://www.prezydent.pl/php/header_dp.php3
http://www.prezydent.pl/img/
http://www.prezydent.pl/icons/

www.sejm.gov.pl

Strona fizyczna:
Serwer: Uniksowy
Otwarte porty TCP:
25 SMTP

21 FTP =>WU-FTPD. Znane błędy w funkcji glob()

22 SSH =>SSH-1.99-OpenSSH_3.2.3p1. Znane błędy aż do wersji 3.3

80 Serwer WWW =>Apache/1.3.19 | PHP 4.0.4pl1

110 pop3

113 identd => Usługa identyfikacji
Serwer WWW:
http://www.sejm.gov.pl/cgi-bin/printenv
http://www.sejm.gov.pl/cgi-bin/test-cgi
http://www.sejm.gov.pl/icons/
http://www.sejm.gov.pl/analog/ – wiele informacji statystycznych.

www.senat.gov.pl

Strona fizyczna:
Serwer: Novell Netware 4.11
System SNMP ID: 1.3.6.1.4.1.23.1.6.4.11

Otwarte porty TCP:

80 Serwer WWW => Novell-HTTP-Server/3.1R1 [Plus Geceric]

25 SMTP

110 POP3
Otwarte porty UDP:

67 bootps

69 [TFTP Możliwe przechwycenie plików]

135 epmap

137

138

161 [SNMP]

1512

2049
Serwer WWW
– brak poważniejszych błędów.

www.aw.gov.pl

http://aw.gov.pl/includes/
http://aw.gov.pl/includes/htmlarea/popups/
http://aw.gov.pl/cgi-bin/awstats.pl – dane statystyczne
http://aw.gov.pl/manual/

www.mf.gov.pl

http://www.mf.gov.pl/sqlnet.log

www.mz.gov.pl

http://www.mz.gov.pl/old/ – dane statystyczne