Форма отправки обращений на официальном сайте Мингорисполкома содержит ошибку
получен
Адресат:
- Минский городской исполнительный комитет
Текущий статус обращения:
- Ответ получен 24 ноября 2015. Читать ответ
Форма отправки обращений на официальном сайте Мингорисполкома содержит ошибку.
Если текст обращения содержит знак одинарной кавычки или обратного слэша, то сервер возвращает ошибку и сообщение не отправляется. Скорее всего, в коде записи в базу данных нет экранирования этих символов. Мало того, что пользователи не могут отправить свои обращения (часто одинарная кавычка используется в качестве апострофа в белорусском языке), это к тому же еще и дыра в безопасности сайта.
При SQL-инъекциях можно с помощью кавычки сначала закрыть строку и завершить текущий запрос, а дальше написать запрос, скажем, выборки всех записей из таблицы пользователей. Можно поменять майл администратора на свой, а дальше сменить пароль администратора на свой, залезть в БД и поставить на главную страницу плохое слово из трех букв :) Ну и так далее, все зависит от фантазии и целей хакера.
Просим исправить проблему.
Читать далее:
-
Установка освещения
-
Адаптация улицы Кабушкина для велосипедистов и инвалидов-колясочников
-
О пешеходных тротуарах в районе сквера ул. Ольшевского - ул. Притыцкого
-
За продление срока общественного обсуждения генплана Минска
-
Пора начать строить города комфортные для людей
-
Компенсация гос. пошлины в случае смены собственника транспортного средства