8 ноября 2010 в 17:03

Проверка каптчи на сайте ФМС

На сайте ФМС можно проверить действительность любого паспорта: http://services.fms.gov.ru/info-service.htm?sid=2000
Прикол в том, что в форме есть скрытое поле, проверять капчу или нет ([input type=«hidden» value=«false» id=«form_bypass_validation» name=«bypass_validation»])
Меняем на true и каптча не проверяетя.
Также меняя ИД в УРЛ можно найти скрытые сервисы, например 2 и 4.
AlexanderYastrebov @AlexanderYastrebov
карма
18,8
рейтинг 0,0
Самое читаемое Разработка

Комментарии (103)

  • +61
    Мне кажется посты про безопасность государственных сервисов можно уже публиковать в хабраЮмор…
    • –18
      Мне кажется, что посты про уязвимость безопасности любых сервисов не стоит публиковать до исправления дыры, особенно государственных сервисов…
      • +27
        Прикажите ждать пару лет?
        • +31
          приказываю освоить пару млн...)
          • +2
            скромно :)
      • +30
        Я думал об этом. Это не дыра, это раздолбайство
        • +2
          Это Нано-HoneyPot
          • +1
            nanoeasteregg
        • 0
          Может это сделано для проверки валидности паспорта через gprs с коммуникатора оперативным отрядом милиции (мечты мечты)?
      • +2
        Мне тоже так кажется, но порой скорость исправления таких дыр у нашего государства такова, что пиши им или не пиши, это вряд ли что-то изменит.
        Я не автор поста и на его месте в первую очередь написал бы владельцу сайта (не знаю, делал ли он это).
        Я всего лишь хотел сказать, что уж очень забавная дыра и самое забавное, что ее надо было сделать (т.е. не так что, недоглядели и забыли что-то закрыть, а применили какие-то усилия, что бы ее сделать).
      • +5
        Отправляешь сообщение с описанием угрозы, ждешь дня 3 и выкладываешь. Иначе никак. Если не выкладывать, то забьют и будут куковать.
        • 0
          Можно подумать, кто-то из разработчиков сайта знаком с правилами публикации уязвимостей.
      • 0
        Практика показывает, что все дыры на государственных сервисах, исправляются только после хабраэффекта.
        • 0
          Сайт ложится и неудобств уже не доставляет?
      • –1
        А ты, хоть и заминусован, но прав.
        Да, пусть там всё пилится, пусть там нет спеца, который оперативно это исправит.
        Но изивините, когда моя мама не может получить нужную информацию, потому что кто-то(скрипткиддис) ддосит или захламляет сайт, дефейсит там, я не знаю в чем она виновата.
        Как бы раньше считалось за честь не публиковать такого до исправления. Сейчас нравы не те. Ну да, распилили деньгу пусть мучаются ага? А про простых смертных не подумали, про пользователей, простых пользователей.
      • 0
        Ссылка на почту с их сайта сообщает что email <info@fms.gov.ru> А вот почтовый сервер отвечает User unknown.
    • +2
      Лучше сразу на govnokod.ru/.
  • +8
    Мда… Сопоставимо с адресом картинки «captcha.php?code=123456»…
    Сделайте мне развидеть это ©
    • 0
      Сопоставимо с отсутствием капчи вообще.
    • +1
      я, кстати, хотел описать этот случай. Как то рассказывали, что один разработчик так сделал для одного сайта, но все закончилось на этапе разработки, все поржали и исправили.
      • +3
        Я это видел как пример редкостно-дебильного кода :)
        А тут такое на гос. сайте… Мда…
      • 0
        года три назад на сайте Киевстара(крупный украинский опсос) при отправке смсок стояла с виду обычная циферная капча, но как оказалось она сохраняла значиние капчи в куку, а при субмите просто передавала на сервер значение из куки и введенное пользователем для сравнения.

        в итоге для одного из проектов я сделал модуль отправки смсок через киевстар — просто генерил рандомную цифру нужной длины и post-ом передавал ее как значение куки и пользовательское:) гдето год оно так и работало, но наверное не только я нашел эту дырку и ее прикрыли заменив на продвинутую капчу с выбором картинок.
      • 0
        На seclab.ru такое было лет 4-5 назад…
    • +3
      Еще больший фейл был на сайте www.aic.gov.kz/ пару лет назад. Полная забота о ботах.

      habreffect.ru/7d8/0d04681b1/09.11.png
  • +6
    Это даже не дырка в безопасности, а какие-то парадные ворота.
    • +1
      с зазывальщиком рядом
    • +1
      Мне кажется, что разработчики просто хотели зделать что-то свое из разряда «пасхальных яиц», и так увлеклись идеей, что, наверное, забыли над каким проектом работают. Но это конечно же ироничная шутка.

      По делу — подобные ляпы можно за дыру то и не считать, ну капча, ну сделана так, что как бы ее и нет вовсе. Это не критичный функционал. Критичным может оказаться то, что это «ниточка», лежащая на поверхности, которая может тянуться из куда более глубоких недр, где обрабатываются ПДн и там, упаси Боже, такие же компетентные приколисты налобали не меньшие «проходные ворота».

      В первую очередь это говорит о двух вещах — об уровне компетенции заказчика (что не вызывает сомнений), а второе — уровень компетенции исполнителя, что вызывает сомнения в профессионализме, как минимум. Понятно что все это заказное и делалось не для людей и не для развития технологий, а лишь для освоения бюджетов и наживы.

      Меня только одно расстраивает — осознание того, что в этой стране для ИТ нет будущего, по крайней мере государство всячески показывает свое наплевательское отношение к технологиям, да еще и таким позорным, я считаю, способом. Мне как ИТ-шнику обидно видеть такое на гос. сайтах. Ведь в нашей стране именно государство диктует стратегию развития, а не бизнес или рынок, как бы не прискорбно это звучало.
      Чисто профессиональная такая скорбь. Но как говориться, «хочешь изменить мир — начни с себя».… пошел менять мир, ато вот теперь уже точно — тошнит.
    • 0
      Чёрная дыра безопасности.
  • +2
    Спасибо. Вот бы все так делали :)
  • +32
    ждем внедрения там вот такой каптчи.
    • 0
      жаль, там нет валидации. первая картинка просто не проходит, вторая так же просто проходит.
    • +1
      Я честно попытался пройти этот капча-тест… но даже со второго раза не удалось:
      habreffect.ru/837/ac0eb00a0/123.png
      • +3
        Гм а у меня получилось ) Только забавно у них нет проверки на пустоту заполенения полей ввода текста ))
    • +5
      Я даж пытаться не буду…

      Paint what you see… OMG
    • –2
      CUNT это вроде пзда, не?) лол
  • –2
    То видимо кусок нереализованного функционала для тех кто цифры разобрать не может и речь не поймет (чекбокс — проверить без капчи) :)
  • 0
    Интересно, а хабраэффект сейчас не завалит сайт ФМС окончательно?
  • +1
    input type=«hidden» name=«form_name» id=«form_form_name» value=«form»
    Тоже порадовало, наверное защита от XSS
    • +1
      CSRF
  • +26
    это такое api для сторонних сервисов, пойду напишу приложение для контакта, проверь свой паспорт
  • +9
    У меня возникает ощущение, что разработчикам сайтов гос. органов катострофически не хватает 3.14здюлей © Bash.org.ru
    • –1
      мне кажется им просто не хватает денег и знаний… школьник и студенты голодающие всетаки
      • +1
        Мне кажется что школьники и студенты не должны заниматься разработкой таких сайтов.
        Q: Почему банят школьников?
        A: Чтобы школьники учились, в школах, а не создавали говносайты.
        • –2
          UPD: Запятая лишняя.
          • +2
            могут и в казино учится, покеру.
            • 0
              или в интернете, плохому…
        • 0
          не должны конечно (хотя про студентов спорно), но после распила хватает только на услуги школьников
          • 0
            Угу, могу подтвердить, сталкивался. После распила там от силы тысяч 5 рублей набирается, ито не от тех, кто пилил.
      • 0
        Денег, знаний, а само главное — пиздюлей. :-/
  • +1
    Может, они это нарочно сделали, чтобы слить базу действительных паспортов?
  • 0
    Интересно узнать кто сделал данный проект, какая компания.
    • 0
      цепочка полу уверенных юзеров ПК с фриланс.ру
      • 0
        переплетающаяся с юзерами с веблансэр-нет с вкраплениями индусов с серчэнжинс — вот вам и сайт
  • +1
    Зачем эта фича вообще на сайте? Мой паспорт (вполне легальный) оно не нашло…
    • +1
      ага, мой паспорт «Недействителен (ЗАМЕНЕН НА НОВЫЙ)».
      • 0
        я в шоке, мой паспорт тоже заменён на новый… а я то и не знал
  • 0
    Да… крутые разработчики у нас на государство работают :)
    • +6
      Наши — круче ;)



      (уже пофикшено)
  • +14
    Когда надо указывать дату рождение у них тоже есть кнопка «сегодня»?
    • –1
      Дата выдачи, смотрите внимательно
      • +4
        Комментарий читайте внимательнее.
      • +8
        • +4
          Полный провал…
          • +3
            это не провал, это лулзик. Что в топике — вот провал где
  • –1
    Так капча уже давно перестала быть защитой от роботов
    Это защита от человеков. Причем иной раз, человекам сложнее ввести капчу, чем роботам. В данном случае сделано, чтобы роботам было максимально проще.

    Меня реально удивляет — зачем делают подобные капчи, если они без проблем, действительно за копейки, распознаётся при помощи специальных сервисов?

    У меня есть js бот для одной из онлайн игр, запускается через Greasemonkey. Он там качается. Конечно смешно видеть, как раз в несколько боев (или при устройстве на работу) появляется подобная каптча (которая типа 3d) и как она без проблем распознается.
    • 0
      Сервисы анти-капча распознают руками, а не автоматически.
      • 0
        Спасибо кэп :)

        Ну, а если серьезно, какая разница боту, который будет спамить какой-либо форум, откуда у него данные по капчам?

        Кстати, через подобные сервисы у нас идет работа по распознаванию телефонов с досок объявлений, где эти номера выкладывают картинками. В итоге бот работает, мы даже не замарачиваемся по поводу картинок, а вот пользователю это создает неудобство.

      • 0
        антигэйт и капчабот распознаются не только руками. если капча легкая то программно. Хрумер же вообще многие капчи ломает
  • 0
    Интересно, Вас не обвинят в неправомерном доступе к компьютерной информации? С них станется.
  • +17
    2 — Проверка действительности разрешений на работу для иностранных граждан на территории РФ
    4 — Прием обращений граждан
    2060 — Проверка действительности разрешений на работу и патентов иностранных граждан и лиц без гражданства
    2000 — Проверка действительности паспорта гражданина РФ
    2040 — Проверка приглашения иностранного гражданина
    2001 — Проверка действительности лицензий на трудоустройство граждан РФ за границей
    2002 — Проверка состояния дела по номеру
    2003 — Проверка состояния обращения по номеру
    2020 — Тестовый информационный сервис
  • +1
    Еще приятная фишка, не стоит запрет на кэширование содержимого полей номера и серии. И еще о юзабилити: если поле дата выдачи не обязательно нафига оно вообще нужно?
    • +1
      А ещё можно один раз распознать капчу а потом сто раз делать back и менять номера паспортов, прокатывает (как и почти у любых самодельных капча-изобретателей.

      Дата выдачи наверное контрольная сумма, но тоже всегда удивляло.
  • +2
    Это все тайные происки коррумпированных чиновников, они специально заказывают дырявые сайты у коррумпированных разработчиков, а президент то не знает :)
  • 0
    Косяк серъезный, но не вижу тут большой угрозы для безопасности.
    Кому надо — и так без проблем распознает. Не распознает — так отдаст индусам.

    И что даст база данных только лишь одних номеров паспортов?
    • 0
      Теперь можно подделывать паспорта с реально существующими сериями и номерами :)
      • 0
        Можно обмануть любую организацию, требующую паспортные данные и проверяющую их через этот сервис
        • 0
          Не обязательно. Если паспорт совсем «левый» — т.е. сотрудники ФМС мало/совсем не приложили к этому руку — маловероятно. Связку серия-номер-дата выдачи методом тыка угадать сложно.
      • 0
        У меня есть подозрение, что номера паспортов присваиваются линейно.
        Поэтому, имея даже один паспорт (пусть свой, знакомых, родственников), можно найти большое количество действительных номеров паспортов, просто прибавляя 1,2, 3, n к своему.

        А если учитывать, что даты выдачи паспортов с близкими номерами находятся рядом с друг другом, можно получить и даты.

        И капча здесь не причем.
        • 0
          Ваши подозрения логичны — но дело обстоит совсем иначе.
          По поводу линейности: в паспортных столах работают ЛЮДИ, которые своим братья-сватьям-знакомым могут сделать паспорт с «блатным» номером — т.е. тупо берется бланк из середины пачки. Естественно, порядок следования номеров по датам нарушен. Далее. Опять же — человеческий фактор: бланки паспортов могут быть испорчены (получаем «разрыв» в номерах). Плюс выходные/неприемные дни.
          Факторов, влияющих на это на самом деле много. Частный пример: проверяю свой паспорт — все хорошо. увеличиваю номер на единичку — паспорт просрочен.
          • 0
            А мой вовсе не находит :(
          • 0
            Естественно, в разных паспортых столах по-разному.
            Но я вот не поленился, попробовал проверить:
            — 2 паспорта рядом со мной действительно, выданы той же датой.
            — еще один паспорт, отличающийся на 7 номеров, выдан двумя днями позже.
            То есть потратив минут 30 времени, в принципе можно найти не один действительный номер паспорта с известной датой. + по серии можно узнать кем выдан паспорт. Просто ручным перебором.
        • 0
          У меня есть подозрение, что одна из цифр — ключ. А кроме неё — могут и последовательно.
  • +1
    'skip_verify'=>1,
    я так раньше у 50webs.com фри хостинг регал)
  • +9
    Вы вот о какой-то капче, а у меня оказывается паспорт недействительный!
    • +10
      Вы вот о какой-то недействительности, а паспорт, который я год назад поменял, оказывается, в розыске.
      • +5
        я бы не стал доверять ввод персональной информации такому сервису
      • 0
        =~ «заявлен как потеряный, объявлен недействительным и до сих пор не найден»? Может, продали кому втихаря?
  • 0
    Видимо деньги таким образом распили, что на нормальную реализацию сервиса денег не хватило.
    Ведь такие сайты стоят миллионы — разве нельзя было предусмотреть различные возможные варианты защиты и т. п.? По моему то, что не нужно передавать параметры скрытыми полями, если их подмена позволяет нарушать работу работу сайта — такое я знал еще когда начинал писать сайты.
    Про дату рождения — тоже весело. Они, что действительно думают, что новорожденный сразу побежит на их сайт?
    • 0
      [irony]Вы что, действительно думаете что у новорожденного есть паспорт?[/irony]
      • 0
        Нет, конечно же. Но это еще не так странно, что человек, не имеющий паспорта полезет туда и обнаружил невозможность проверки, по причине отсутствия паспорта.
  • 0
    зато есть озвучка капчи. интересно, сколько трудов и сил было вложено в это)
  • 0
    Паспорт с заданными полями По Вашему запросу о действительности паспорта РФ **** № ****** получен ответ о том, что данный паспорт «В электронных учетах ФМС России в настоящее время не значится».
    странно
  • 0
    А никто не знает, что за организация работала над сим шедевром?

    Нашел только: www.internet-design.ru/portfolio/2009/104/

    Но не уверен, что они руку приложили к этому.
    • +1
      Я бы предложил публиковать имена людей или названия компаний работающих над тем или иным государственным сервисом. Может быть это заставило бы их создавать не позорные (не говорю хорошие) проекты.
  • –1
    А у меня оказывается паспорт недействительный…
  • +2
    Судя по количеству недействительных паспортов — возникает подозрение, что там вместо обращения к базе стоит рандомайзер сообщений.
  • +1
    Да они там все упоротые.
  • 0
    Посмотрел. Поля на форме не оказалось (учоные, видать). Добавил. Сработало. Есть подозрение, что так капча много где отрубается.
  • 0
    Даты выдачи у меня не оказалось. Наверное, убрали. Умные (отделение милиции вычислить не особо трудно если приблизительно известно место жительства, дальше можно на «паспорт» кредит брать...).

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.