Новости Саранска, России и Мира

18+

Сайты мордовских газет беззащитны перед взломщиками

Писать что-либо про качество нашей журналистики нет смысла - блоги и форумы и так заполнены стебом над шикарными материалами Известий Мордовии и прочих коллег. Вместо этого мы испробуем на прочность безопасность сайтов газет, что после недавней истории с попаданием в сеть СМС пользователей Мегафона является весьма актуальным.

Сразу поясню, что автор статьи не хакер, не программист и особыми знаниями не обременен, поэтому страшных слов в статье Вы не увидите, а все действия сможет повторить даже ребенок. Начнем с того, что скандал с СМС был вызван всего одним файлом robots.txt, который показывает, куда Гуглу с Яндексом залезать можно, а куда нет. Мегафон забыл запретить Яндексу залезать на страницы с текстом СМС, в результате чего они и попали в сеть. Значит в этом файле указаны все разделы, на которые заходить не стоит. Но мы ж Россияне - раз нельзя, значит туда и полезем!

Начали мы проверку, естественно, с "Известий Мордовии". Но по адресу http://izvmor.ru/robots.txt можно найти только ссылку на неработающий форум http://izvmor.ru/forum/. Возможно злоумышленники могут узнать, что это за форум, но серьезной угрозы безопасности это не представляет.

"Вечерний Саранск" тоже скрытен, в файле http://vsar.ru/robots.txt есть только одна ссылка на карту сайта http://www.vsar.ru/sitemap.xml в которой перечислены все страницы сайта (очень удобно для программ, ворующих тексты с чужих сайтов) а также указано, что сайт сделан на бесплатном движке WordPress, хотя лучше бы использовали последнюю версию Joomla 3.3. Тоже не Бог весть какая ценная информация, но даже она облегчает жизнь взломщикам.

А сайт газеты "Столица С" - находка для хакера. В файле http://stolica-s.su/robots.txt перечислены все разделы, которые могут помочь взломщикам. Для взлома чего угодно надо знать 2 вещи: пароль и куда его вводить, причем первый вопрос не всегда сложнее второго. Но Столица услужливо сообщает, что вход на сайт осуществляется со страницы http://stolica-s.su/administrator/ (если есть желание - попробуйте подобрать логин и пароль:), где сразу же написаны название и версия бесплатного движка. Через адрес http://stolica-s.su/new/content/articles/ доступны все фотографии с сайта за последние полгода. Полазив по остальным адресам можно посмотреть коды верстки и различных скриптов, а вот на странице вроде http://stolica-s.su/new/modules/block/block.install указан хостинг сайта. Эта информация упрощает взлом сайта на порядки. С учетом бесплатного движка, взлом может произвести любой школьник, умеющий пользоваться гуглом и читать форумы, поясвященные безопасности в интрнете.

Накидав камней в чужие огороды, грех не похвалиться – наш сайт не пользуется бесплатными движками, да и к тому же хотя бы немного заботится о своей безопасности и безопасности пользователей, поэтому младшие школьники его не взломают. Правда сайты остальных газет тоже вряд ли кто-то будет взламывать – они никому не нужны.