ثغرة في الأستمارة الألكترونية الخاصة بمستخدمي المركبات التي تحمل لوحات فحص مؤقت بغداد – منيفيست

ثغرة في الأستمارة الألكترونية الخاصة بمستخدمي المركبات التي تحمل لوحات فحص مؤقت بغداد – منيفيست

في وزارة الداخلية …

https://www.moi-iq.org/application/apply/

تحية طيبة ….

لا اعرف كيف تم برمجة هذه الاستمارة …..؟!!!

والتي تحتوي على كثير من الثغرات وفي جميع حقولها  والتي تفتقر الى ابسط مفردات برمجة الاستمارات والتي نطلق علها

Form Programming & Processing

اين مبرمجي مركز الحاسوب التابع لوزارة الداخلية …؟

عندما تدخل الى موقع الاستمارة فتجد كثير من الحقول المهمة لبيانات صاحب السيارة

حقول بياناتها نوع ارقام

وحقول بياناتها نص اي رموز حرفية

لكن وجدت العجب في هذه الاستمارة …وهي  باني استطيع ادخال ملف كامل في جميع الحقول بدون استثناء ….!!!!

هذا يعني لايوجد كود برمجي يقوم بالتاكد من صحة البيانات الداخلة …..!!!! والذي يسمى بكود

VALIDATION DATA التحقق من صحة البيانات

هذا يدل على ضعف برمجة النموذج …والذي يوثر على خادم الموقع بثغرة

Buffer Overflow exploit

تجاوز سعة المخزن المؤقت استغلال…..!!!

اما بالنسبة لحقول رفع الملفات فحدث بلا حرج بامكانك رفع اي ملف …حتى الملفات التنفيذية وملفات التي تعمل على الخادم …اقصد ملفات PHP و ASP ……!!!!! والتي تدار عن بعد ….!!!

لم يستخدم المبرمج المبتدئ اساسيات وفهم انواع الملفات الواجب رفعها وباي صلاحية من قبل المستخدم …..!!!! كان عليه ان يعرف نوع الملفات الواجب رفعها هي فقط من نوع صورة (JPG) او مستند (DOC) ..!!! لكن اعتقد انه بحق مبرمج مبتدئ لايعرف أسس حماية الموقع وبيانات المستخدمين ….!!!

فأرجوا الانتباه الى ذلك

 

الموقع

https://www.moi-iq.org/application/apply/

 

 

 

About these ads

أضف تعليق

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

You are commenting using your WordPress.com account. تسجيل الخروج / تغيير )

Twitter picture

You are commenting using your Twitter account. تسجيل الخروج / تغيير )

Facebook photo

You are commenting using your Facebook account. تسجيل الخروج / تغيير )

Google+ photo

You are commenting using your Google+ account. تسجيل الخروج / تغيير )

Connecting to %s