Пацаны забили хуй на директории .git и все их коммиты и соурс код успешно спиздили.
Их предупредили, но они снова забили хуй, в итоге сорцы лежат где то в даркнетах
По итогу выяснилось что госуслуги это допиленный битрикс. а ЕСИА - opeinid
https://habr.com/ru/news/t/598121/
Понимаю
А ничего удивительного, что Путинские сервисы из говна и палок.
Хуясе, они смогли освоить ПХП и допилить битрикс!
Размер анусов безопасников сейчас представили?
Ну слили и слили что будет то, опиши в вкратце, я дуб в этой теме, но интересно какие последствия и будет ли подляночка для просто пользователя?
>hall of fame
>госуслуги
Ох сука что-то с этого в шепот хз почему.
Если слитые сертификаты вовремя не успели отозвать, то хуева туча данных могла быть спизженна
вот тут подробнее можно почитать https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vzlom-vernee-skazat-sliv.html
Ссылку на закачку, срочно
Дваждую, не может быть в одном предложении слов "Пыня" и "не накосячить"
https://anonfiles.com/vbX2e5Wew9/gosuslugi.pnzreg.ru_rar
Ты слепой хлакер?
Но недавно же был тред что Госуслуги заебись и впереди планеты всей. Нахрюкали теорему тарана?
ды хуйня, это ебучие московские госуслуги, а не федеральные, там рили долбоебы работают. т.е. есть федеральные госуслуги - это, собственно, gosuslugi.ru, которые пилит РТЛабс, а есть всякое говно региональное которое с федеральными интегрируется и пилится на битриксе (скажу по секрету госуслуги делаются на java - spring, а то что ЕСИА это openId это прям в документации к ней указано). Та же ЕСИА просто заблочит их систему и все ее серты за секунду перестанут работать. Ну зато заголовок громкий.
>госуслуги делаются на java - spring
На чистом или boot? Какой версии?
зависит от сервиса, там микросервисная архитектура с миллионом компонентов
То, что ты написал понял, а на сайте вообще нихуя не понял, видимо до конца жизни так и буду работать на заводе
И що делать?
Бежать удаляться из госуслуг или что?
Какие нахуй сертификаыт?
У меня тупо акк подтвержденный и все.
Вроде никаких сертификатов нету.
ну-ну, и например каких данны-то, иксперт? серт есиа только подтверждает что ты от имени определенной информационной системы обращаешься, помимо этого нихуя наличие серта не дает.
Для рыбалки сертификат нужен
Объясните маминой радости, что значит "исходный код"? Разве это не означает того, что спиздили именно "чертежи" сайта, а не сам сайт со всеми аккаунтами и прочими приблудами? Или у госпрограммистов там был файл с названием "LOGINI I PAROLI NE LEZ"?
>что значит "исходный код"
Там на поддомене был доступен целиком репозиторий с исходниками к чему-то, можешь скачать орхив и посмотреть что там.
в исходном коде могут содержаться пароли к базе данных, в которой есть аккаунты.
У них анусы всегда шире всех. У них и бухгалтеров. В случае чего - им пизда.
Нет не могут.
...но в которую ты один хуй не зайдешь потому что есть еще проверка на хост.
ну разве что это исходный код проекта lab_01_test
Им похуй. Когда ржд через сапсановый вифи ломанули, там руководство на серьёзных щщах прокукарекало что всё пиздёжь и они защищеннее подземного бункера.
в .env файлах могут вполне, но их будет хранить открыто только дегенерат
Ты тот дауненок который по советам тесака жрет тунец?
>Нет не могут.
Ох как ты молод и неопытен.
Зачем он нужон этот пароль к базе вообще?
>которую
В одеяле - да, всех нахуй, кроме вайтлиста. Ну и субд должны так-то в дмз сидеть и с фронтом через защищенную дырочку общаться.
Чта не так с тунцом?
Ничего другого от них не ожидал, они даже 2фа нормальный уже пять лет сделать не могут хотя я лично просил их сделоть
> ржд через сапсановый вифи ломанули
Рисковые ребята. Если запалят, деваться некуда.
хуйню не неси, дурачек. паролей нет в открытом виде даже в базе данных, идиот
Надо просто выебать под хвост того, кто запилил проверку на хост, и отправить его собирать хворост. Обеспечить ему, так сказать, отрицательный карьерный рост. И следить, что бы он соблюдал пост.
Ты не ответил на вопрос.
Я другой анан.
>ЕСИА - opeinid
В смысле? А до этого не было очевидно по какому протоколу оно работает?
>хотя я лично просил их сделоть
ну если ТЫ просил
> Пацаны забили хуй на директории .git
Пацаны деплоили руками по SSH/FTP, похоже. Ебать. 2к22 наступает.
>ЕСИА - opeinid
В смысле? А до этого не было очевидно по какому протоколу оно работает?
>директории .git
>коммиты
>соурс
Кодеры госуслуг таких слов не знают
кароч почитал я ваш тредик. в чем ВСЕ то?
в треде сами хуй понимают что это означает по факту.
спиздить пароли могут
нет, не могут.
какие нахуй пароли. какие базы данных блять? почему все то блять? впизду кароч.
То есть я просто встретил двух рандомных анонов за сегодня, которые рандомно запостили одно и то же фото банки тунца?
> ЕСИА - opeinid
НИКОГДА БЫ НЕ ПОДУМОЛ! Тащемта там еще SAML кроме SSO.
>Пацаны деплоили руками по SSH/FTP,
Руками, но нах ты про ftp написал, по ssh заходили и дергали фетч.
жадные пидорандели, просто пиздец
>Пацаны забили хуй на директории .git и все их
У них программисты 300к сек и прибалты.
Да да, прибалты.
Так что похуй.
ты не прав, даже dev стенды уже все на кубере/хельмах. а на проде там вообще пиздец какая инфраструктура с эктив-эктив репликациями и мультицодовой обработкой данных. ты недооцениваешь количество бабла вливаемого в цифровой гулаг.
Спасибо.
Абу благословил этот пост.
Анон запосил банку тунца, ты чёто вякнул про тунца, я спрашиваю ещё раз, чем тунец плох, ну кроме рашко цены?
кроме OpenID. быстрофикс.
Это как реализуешь, лол
Что-то недовливали, и кодил опять васян
А что тут не так? Мне везде утверждают что именно так или через гит и нужно делать.
это отдельная система про которую ОП писал, она по сути клиент госуслуг, такой же как какой-нибудь налог.ру или пфр.
docker compose up
>ты недооцениваешь количество бабла вливаемого в цифровой гулаг
Бабло можно тоже тратить плохо, вчера тред был про кабана, котороый по гос. котнракту нанял новичковых работяг за 300-600 баксов, по итогу соснул чёт.
А типо не надо, пускай любой петух крадет пароль (хотя бы уникальный, хер с ним) и заходит?
Сейчас там 2фа по смс от которого уже отказались буквально все т.к. смс пиздят тоже
Кто с ЕСИА работал тот знает. Остальные просто начали кукарекать что используют не аналоговнет а вполне обычные открытые протоколы. Почти весь гос пилится на опенсорсе.
№26030889
Кому ты пиздишь блять.
Ничем, нажимаешь ф12, считай спиздал госуслуги, качай все JS фаилы.
В сорсах нихуя интересного нет.
Ссылку проебал случайно.
Но я знаю что это ты.
Потому что я видел в 2013, как сервис деплоили вместе с репозиторием через заливку ZIP-архива. У меня нет точных доказательств того, что на пензенских госуслугах делали не так же.
> а ЕСИА - opeinid
Это было видно невооружённым глазом
Открою секрет даунам - госуслуги не сайт из 90ых который крутится на васянском компе по статичному айпишнику. В статье на хабре одна вода и невнятные кукареки про сертификаты.
Гугли CI/CD
Ну тип, если таскать исходниками, то необходимо пару раз присесть, настроить, чтобы доступа не было к нужным вещам, сбилдить всю парашу на этом серваке, если это не проблема, то почему нет? Но лучше настроить какой-нибудь пакетный менеджер/использовать линукс контейнеры.
>>260315464
Что ты несёшь, солевой наркоман?
Вот оно чё. То то они по офису как в жопу ужаленые все летают сегодня.
Охуенно блядь, охуенно. А у меня там все доки были привязаны. Ну что, жду пока мой паспорт засветится в ОАО "Кредитование в обмен на почку". В пиндостане их бы уже судебными исками закидали, а у нас ничего, потерпим.
Это только при очень большем желании они там могут быть, но учитывая какие кривые мартышки в гос органах работают и на битриксе хуйню клепают, то они с таким заморачиваться бы не стали, а по дефолту никаких паролей в базе данных нет.
Чтобы пасскоды генерить.
Реально шиз какой-то.
Могу запруфать скриншотом, что не я.
Там нихуя не слили, так что не ссы.
Да ты пиздабол ебаный. Ещё и лахтой притворялся в том треде. Ну как там методика тесака? Ахахаххваа
+
Нищий народищко просто.
Только вчера тут какой-то упоротый выебывался госуслугами. И вот уже на следующий день вяличие случилось.
Вы прослушали мнение безмозглого обывателя о новости, в которой он вообще нихуя не понял.
Кстати да, помню его тред)
Двачую, проигрываю с этой хуйни тоже. А еще как крылья расправлял "кококо вот у пиндосов и гейвропейцев нет кококо".
Нихуя не случилось, громкий заголовок а на деле никто ничего не знает.
>нихуя не случилось
>просто челы с миллиардными бюджетами хранили свои сорцы как студенты первого курса и проебали их
>>260315833
+15 цифровых рублей
Никаких пруфов что слили личные данные граждан нет.
начальник СБ скорее всего сынок/зятек какого-нибудь замминистра и ему похуй на всю эту мышиную возню, он уже неделю кокс в Нью-Йорке нюхает.
Хохлов или Омериканцев уже убвинили?
Да причем тут личные данные, еблан? Код только слили, хуй знает че там внутри найдут. Сам факт распиздяйства на охуевшие бюджетные деньги
Слили кодовую базу. До инфраструктуры никто не добрался а вся инфа там.
>хуй знает
О чём и речь, хуй знает а новость подаётся как ФСЙО!
Блядь, и смех и слёзы. Такое чувство, как будто там всю эту систему пилили по армейскому методу - главное перед старшим отчитаться и гори оно всё синим пламенем, нас уже через час после зарплаты здесь не будет.
Пшёл нахуй, я вообще мимокрок. Тупо вбил в поиске по тредам "ем одного тунца".
Ты можешь в девтулзы зайти и точно так же скачать сорсы, все будет в менее удобном виде, но если бы хотелось раскрутить и там было бы что-то угрожающее безопасности, уже бы спиздили. Тут же те же самые сорсы, без какой либо хуйни. Бэк не спиздили даже.
Так и? Если они слили кодовую базу что мешает им в следующий раз слить инфу от знающего человека?
Морген, как дела?
Мешает то что вся инфраструктура в закрытом контуре.
Ага блять, и там чисто случайно появилась та пикча которую ты запостил. Вот уж совпадение)))
И что это означает для простого русского Ивана?
ебло утиное, ты хоть бы тред почитал. на таких как вы дурачков и ориентирована желтуха, нихуя нет критического анализа, верят всему что им пихают в их тупую башку. Кстати ты выиграл 4000$ долларов, только за конвертацию надо 300 рублей заплатить на киви 14885051, как скинешь сразу тебе придут по курсу цб рф.
7гб это размер фронтенда что ли?
Не тот анусай измеряешь. У безопасников анусаи бумажками прикрыты. А вот кого там точно набутылят или премии лишат - погроммисты или гейопсы. Но им не привыкать.
мимо безопасничек в крупной окологоспораше
И да, госуслуги это только портал, вся инфа которую ты дергаешь из госуслуг уходит/приходит по защищенному каналу с систем различных министерств.
>по защищенному каналу
https?
Просто год был непростым
смэв, гугли
Пиздец ты беспалевный, я ебал.
А безопасники че не анальники? Чем они тогда занимаются?
Внутренние ВПНы
Что у него с черепом?
Последний раз, шизик, я тупо вбил фразу про поедание тунца из пикчи и мне выдало 2 пасты в двух разных тредах про пейсака.
О чем ты?
Фсиысле? Они что, сертификаты в Гите хранили?!
Не понимаю эти ботанские пограмистские высеры, по-русски скажи в чем проблема.
Два чая. Там как, все еще СМЭВ 3 или уже новую версию рождают?
>По итогу выяснилось что госуслуги это допиленный битрикс. а ЕСИА - opeinid
А ты сомневался что у них что-то другое?
Вопрос без троллинга. Что мешает программистам в госконторе сговориться и сказать начальничку, который компьютером пользуется только для того, чтобы купить билеты на самолёт в Лондон, что "из-за торсионного сдвига на нуль-фазовом сервере провайдера (это значит, что не в нашей конторе, Кабан Кабаныч!) произошла утечка данных по протоколу FUT4-NAR1, мы работаем над урегулированием ситуации"?
А как так совпало что ты сука рандомно запостил эту же пикчу? Ты блять вместе с этим аноном её на телефоне хранил? Хули ты пиздишь.
там еще кое-где смэв 2 скажу тебе по секрету, из-за ебучих ведомств которые хуй могут перейти на смэв 3
Ничем абсолютно большую часть времени. Остальное время бумажки дрочат
мимо другая иб макака
Многие разработчики гос систем вполне себе либурахи и топят за навального например.
Ебаиь я орнул с допиленного битрикса и опенайди. Последний раз я так орал с хохлятской соц. Сети которая не взлетеда
Ябут ойти и не только во все отверстия по стандартам ИБ. Ну и бумажки пишут, которыми свои же жепы прикрывают. Зато эти самые бумажки неглядя подписывают ойти пидоры, которых в итоге и бутылят после инцидентов, ну а безопаснички довольно урчат, пьют водовку под селёдочку, да приговаривают "мы же вам говорили".
Какое государство, такие и услуги, такие и это самое. И вот этот фактор кстати.
Вот этот фактор блеять >>260316348
Это возможно. Есть одна беда. Потом придут федералы, и весь отдел разработки, поедет к другим спецам по разработке. Отдел шваберного пентестирования, при очередной Красноярской ИК.
Немного предсказуемо.
Ну вот представь что их сайт это жигуль, так вот, спиздили чертежи жигуля, а имея их можно узнать как вскрыть жигуль и спиздить оттуда паспорт простого русского Александра.
Я так понял, анальники, поправьте.
Я нихуя не понял по итогу. Если не слили личные данные пользователей, то почему всем не похуй?
моя пикча со скрином результатов поиска тут только ОДНА, дебилушка. Иди уже таблетки выпей. А то серишь.
>Отдел шваберного пентестирования
обосрался
Сука ты ебаная. Хватит елозить жопой. Я знаю что это был ты. Рандомный постинг тунца тебе не поможет.
Ну надо же не только про нападение лично путина на окраину писать. Нужны новые повест очки.
>Ебать лахта кинулась свою госпарашу защищать
Я рот ебал этого лагающего куска дерьма, и сайт фнс тоже.
Мимо урапатриот
И что? Данные же никакие не спиздили.
Ещё раз повторяю для идиота.
Как так получилось что ты с аноном примерно в двухчасовом промежутке в разных тредах запостил одну и ту же пичку тунца?
Оййй блять. Театр одного актера.
Че ты несешь, шиз?
Смысл не в том, чтобы потом жопу лапой от вышестоящих инстанций прикрывать. Смысл в том, чтобы всем отделом наплести кабанчику о том, дескать, виноваты не мы, виноваты %любые_пидорасы_нейм_которыми_можно_прикрыться_без_последствий%. Вон, старший программист Сычёв который со всем отделом в рейды в ВоВ ходит, всё подтвердит, мы не виноваты. И волки сыты, и овцы целы.
Сука ты ебаная. Нахуй ты постишь этих тунцов? Это тебе не поможет. Я знаю что по методичке тесака ты питался, и в том треде лахтой тоже ты притворялся.
Данные уже спиздили, а потом серты слили чтбы даунята побежали смотреть и заспамили логискрыв реальных злоумышленников. Надо быть дауном чтобы не воспользоваться этим.
>Что мешает программистам
Ну как минимум логи, которые прилетают к нам через syslog в нашу уютную SIEM систему и хранятся там года два.
По этим самым логам мы видим каждый пук в системах если что.
> Нихуя не случилось, громкий заголовок а на деле никто ничего не знает.
Да, да. Просто хлопОк
безопасник ноет, скулит, дрожит, как собака, и нихуя , нихуя не делает 9/10 года.
Установил какой-то безпоасник даллас и каспер, они сконфликтовали. Что делает безопасник? Нихуя.
Вот смотри, вбросили про слив исходного кода, изнасилованный журнашлю в СМИ напишет про взлом госуслуг, полетит говно на вентилятор и каждаябабкабудет об этом знать и подскачут скам кабанчики с фишинговыми рассылками "ваш аккаунт в госуслугах скомпроментирован, перейдите для смены пароля на говноуслуги.ua". Вот есши так будет то это уже пиздец.
Идиот тут только ты. Я не постил фотку с банкой тунца. Я вклинился только из-за пасты на пикче с банкой тунца.
Я одного тунца запостил, что привлекло внимание на харде, то и прикрепил. Где там тебя тунцы выебали, что у тебя посттравматический шок, я не знаю, извиняй.
>>260316735
Вы заебали блять хохлозависимые. Че вообще произошло по итогу. Че спиздили-то?
>Установил какой-то безпоасник даллас и каспер
Тебе бы с такими маняфантазиями варежку не разевать, говно эникейное.
ты щас обьяснил работу примерно половины госсектора. я на совещаниях только это и слушаю, как мыневиноваты а онивиноваты.
>>260316448
>>260316727
Я так понял, охуенная работа. А че по зп, можно тунец каждый день?
А кто тогда постит остальных тунцов в треде?
нихуя ты злой. приходит человечек, которому 10к заплатили за аккредитацию места, он не настраивает, а я виноват. Я то как раз забочусь о таких, как ты, потому что на меня всё и скидывается.
Чтоб ты здох уебан.
выше кидал телеграм
Блядь, а ведь правда. Сейчас, наверное, ближайший месяц всем на ящики будут приходить письма от aslanchik_haker@mail.ru:
"здравствуйти ваш профил в госуслуги пыталис взломать отправте даныи вашей карты по сылке nenaebalovo-gosuslugi.zw"
Другие аноны
потом просишь другого безопасника помочь, он просто делает вид, что не понимает ничего. а у юзера нихуя не работает.
Зачем они это делают?
ну типа будут тестить сорц, найдут уязвимость и сольют твою инфу
Тунца кстати делают в Дании. А знаете кто еще из Дании? Тони! Совпадение?
>Тунца кстати делают в Дании.
тунцо-лахта, плиз
килька, спок
Фейсы аудит проведут и всё вскроется.
А чё ты сразу начал хохлов приплетать? Минус мивина, не стараешься, хохлушка.
Каких "как я", идиот?
Ты привёл пример какого-то эникей-гноя, который у вас, сам же признаешься, числится чисто потому, что у него профа профильная. Раз у вас такое "ИБ", то у вас и остальное ИТ для галочки. Так что не меньшему ИТ-гною эникейному я и отвечаю.
Но ты свои маняфантазии пишешь человеку, который в SOC'e на третьем уровне Incident Response тимы сидит. А SOC наш укомплектован от бумажных даунов, до аппсеков и мамкиных пенетрейстеров. У нас, блядь, сеть по всей РФ распределена. И работаем мы 24/7 Ты понимаешь, что ты под себя серишь, сисьадмин хуев?
Пидарас
> а ЕСИА - opeinid
Ахаха, безграмотная школота открывает для себя IT.
Мань, во-первых OpenID -- это стандарт, у него много реализаций.
Во-вторых, там OAuth OpenID Connect, а не просто OpenID -- это разные вещи дохуя.
В-третьих, как по-твоему сделать Identity Provider БЕЗ OAuth? Абсолютно вся авторизация через абсолютно любой провайдер: что гугл, что эпл, что через вк, что через фейсбук, что через что угодно другое будет работать на OAuth просто потому что это стандарт.
Мимо-сениор-помидор-400к
После всего этого госуслуги перестают быть ахуенными или что? Все еще очень удобный сервис
Любят тунец наверно
в итоге кажд вход я меняю пароль тк не помню тк взял ИХНИЙ шизовариант для кгб даунов
а тут выясняется что вся их залупа это просто ВЕРИТЬ ЭТОГО ВПЛОНЕ ДОСТАТОЧНО
ХАХАХХАХАХХХАХАХ
БЛЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯАААААААААААААААААААААААА
когда я уже выиграю гринку блядь, 8 лет прошло
Не, хуета. Надо было закрутить гайку, взяли гаечный ключ вместо того чтобы проектировать и выплавлять инструмент с нуля тоже. Пердиксы небось думают что весь софт с абсолютного нуля на двоичном коде пишут всегда.
>когда я уже выиграю гринку блядь, 8 лет прошло
Представим что ты выиграл гринку, а дальше что? Какие твои действия. Ты там никому не нужен.
> с допиленного опенайди
Давно так не орал с неграмотных чмонь
+15
я и тут только твоей мамаше нужен
мимо
примерно как у евгения таранова.
ну, может до 36000 в меся врядли дорасту, но 10к мне хватит.
Мань, ты знаешь что государственные структуры ебали в анус мировые стандарты, и на разработку собственных им выделяется хуева туча денег. Вон тебе эльбрусы и телефоны для вояк сделали, чтобы американцы ничего не пиздили.
Надеюсь того кто соощил о проблеме затаскают по запросам, а потом на него повесят взлом и набутылят.
В следующий раз будет уроком если выдет.
Нужно быть совершенно наглухо отбитым долбоёбом, чтобы пентестить правительственные сайты в пидорашке, а потом ещё и сообщить об этом в надежде на подачку. Теперь его швабрами пентестить будут. И поделом дурачку.
>habr
ГРЯЗНАЯ
РУСОФОБСКАЯ
СВИНО
ПОМОЙКА
вы чё делаете кроме того, что в жопе ковыряетесь? Нас 2 раза в год ломают, вообще всё, из-за таких, как ты. Вас к хуям надо выгнать, тебя лично, пидарас. Если вообще завтра ты сдохнешь в луже крови вместе со всеми своими обоссанными чмоколлегами менеджерами, то никто никогда не заметит вообще ничего.
В нашей ебаной эрэфии нет информационной безопасности и не было. Надо кадры прорядить, хорошенько так, тогда МОЖЕТ быть что-то и изменится.
Промытка, везде тебе мерещится ЛАХТА. Я простой вопрос задал, я не навязывал своё мнение, просто поинтересовался.
Так а чё, где пруфы, где сам слив?
С удвольствием посмотрю чо там в сорцах, но чё-то их нигде нет. Вон, хабравчане в комментах тоже задаются тем же вопросом: ГДЕ?!
То что код слили это ладно. А вот то что там сертификаты и токены это уже очень весело.
карма прям на глазах падает.
походу его последний пост на хабре
ты спитые инфантильные глаза наверх подними, где ты отписываешься, госуслуги ломанули. опять или снова? Кто виноват? Исидор эникейщик? Ты и виноват всё по достоевскому.
> ЕСИА - opeinid
Невероятно! какие же зумеры дегенераты, просто пиздец
Чет вспомнил, как я в далеком 2002 году, будучи 9-ти классником, просто по приколу дефейсили с друганом всё, что под руку попадётся.
Ну и короче так получилось, что чисто случайно получили через веб доступ к базе какой-то крупной страховой компании лол. Тупо раскручивали мускуль запросами и там вообще никаких защит и фиксов даже базовых не было лол.
Абсолютно все данные как на ладони.
Прошло почти 20 лет - нихуя блять не поменялось.
Да не, наплести то можно что угодно. Но вставшие как копейка на трассе госуслуги, еще и вставшие намеренно, это очень серьезный риск. Для всех саботажников.
>>260316622
Доброфлот годнота. Иваси вот у них охуеннные.
> opeinid
Типа надо было свой стандарт хендшейка придумывать, чтобы с ним никто заинтегрироваться не мог, я не пойму?
Родной, распакуй, открой текстовый редактор какой-нибудь, проведи поиск по файлам в папках/директориях
ключевое слово укажи "№ сертификата"
это из страницы с QR кодами, там посмотрим куда к чему идёт и будем генерировать свои настоящие QR коды!
7гб будут качаться часов 10
осуждаю применение насилия, если что, дай бог тебе здоровья, просто ты на ровном месте меня разозлил.
Но нахуя? Это же ебантяйство полнейшее было бы.
Надо было им ещё и ЯП свой писать, а то хули они PHP используют? Вообще пиздец, охуевшие. А сервер-то наверняка Nginx, у суки такие.
Нахуя мы делаем свои процы без мощностей, но за оверпрайс? Нахуя мы делаем свои телефоны для военных, где какое то йоба шифрование?
Мразь, вот зачем ты меня расстроил, а.
Объясните, почему многие сервисы в ру сегменте до сих пор не хакнули какие-нибудь индусы? Блядь, если с госуслугами такой пиздец творится, то разумно полагать, что какой-нибудь мухосранский банк хацкер с прямыми руками как липку обчистит за пару часов. Почему до сих пор ру сегменту не устроили ночь ярких мониторов и не вывели все бабки куда-нибудь в Химачал-Прадеш? Чистейшее везение?
Ну так хули, вкинул пост, без содержания, без пруфов, без нихуя. Это же не двачи.
Ученый опять изнасиловал журналиста.
Это ПЕНЗЕНСКИЙ региональный портал, а не госуслуги.
Можете выдохнуть
>вообще всё, из-за таких, как ты
Ага, это ведь я ветку гита наружу всему миру выставил. Нахуй иди, пидор.
Что ИБ в Рашке нет и без тебя знаем. как и в целом в мире-то Хотя бы потому, что среднему пользователю, али кококодеру "ниудобна".
А тренируй вас хоть каждый день, один хуй, либо по фишингу обосретесь, либо в гите пароли в плейн тексте оставите. Фича ведь.
Потому что банки - это не госорганизации, там люди получают большие деньги за безопасность. В госкомпаниях ИБ специалист (бумажный, даже не практик) будет получать максимум 50к на руки. Поэтому им похуй/поебать на безопасность.
Жесть, ты так гордишься заслугами, которые достигли другие.
>какой-нибудь мухосранский банк хацкер с прямыми руками как липку обчистит
Ты чё фильмов пересмотрел что-ли?
Может ты еще думаешь что в каждом отделении банка стоит дверь круглая металлическая и там миллиарды внутри?
Дебил бля
Хули ты за меня пишешь, уебан.
Ну, всего-лишь пока не спиздили. Учитывая распиздяйство причастных это вопрос лишь времени
я стыжусь просто своей работы, вот и сгорел.
Понял, спасибо за ответ. Держи тунца.
В исходном коде crackme самого начального уровня?
Бля, ты серьёзно такой вопрос задаешь или троллишь
Тебе реально надо объяснить, зачем нам нужны свои подконтрольные средства шифрования, но нахуй не надо городить свой хендшейк авторизации?
Бля, ты бы ещё спросил, нахуя наша замена SWIFT работает на совместимом со SWIFT протоколе. Пиздец долбоеб, внатуре.
теперь клоуну рашкоцена не нравится, ну купи по демократичной цене - долларов 7 за сырой кило по закупке
Нахуя тогда нужна вся эта кибербезопасность в крупных корпорациях и госструктурах, если максимум, что могут сделать хакеры - это гифку с ебущимися негрилами повесить, а ничего значимого сделать не могут?
Давно на ротан не давал слепой, безграмотной чмоне с двачей
Двачую
Потому что одно нужно, а другое нет? Какой-то глупый вопрос.
Начать прорежение стоит с тех хуесосов, кому кровь из носа "для работы" админские права нужны.
Взлом банка - это не взлом их сайта. У них есть корпоративная сеть где могут быть банкоматы, POS терминалы и прочая залупа, а также терминал SWIFT. Заимея доступ к этим объектам можно что-то сделать. Проникнуть во внутренний периметр можно благодаря внешнему а также благодаря тупорылым работникам, которые откроют "отчёт_важно.exe" и пустят во внутреннюю сеть.
Смотри, простой вопрос на грамотность: где скачать openid?
ААААА ЗАЧЕМ ТЫ ВЕСЬ ТРЕД СВОИМИ ТУНЦАМИ ЗАСРАЛ ХУЕСОСИНА СУКА?
Двачую
разраб с госухи
Как вкатиться? Заебал кабан мой, хочу себе государство вместо кабана
> а ЕСИА - opeinid
Лол, а что там ещё должно быть, как иначе с ним интегрироваться-то? Пиздец, претензия уровня "А ПОЧЕМУ НА САЙТЕ ИСПОЛЬЗУЕМ HTTP, А НЕ СВОЙ ПРОТОКОЛ, М?"
Так ты все равно будешь на кабана работать, просто заказчиком будет какой-нибудь минцифры.
>Пацаны забили хуй на директории .git и все их коммиты и соурс код успешно спиздили.
>
ой блять, да база избирателей США https://voterrecords.com/ до сих пор работает если знать как заходить со всеми данными.
а дальше кто угодно пробивается, а у них еще и сайты по кладбищам есть с родословной, можно узнать кто кому родственник и пробить всех по прописке за один вечер, и еще найти сразу же все имушество на человека, все административки и уголовки и тд и тп за пару кликов.
> Если слитые сертификаты вовремя не успели отозвать
> отозвать
Орнул с этого иксперта. Ротацию внеплановую делаешь и всё. "Отозвать" блять.
Ну справедливости ради, так многие и делают. Мы второй год наебываем начальство, что проблема на стороне других, они сваливают на нас. А начальство тупое, плачется перед губером, что невиноватые они, не работает его задумка.
>У НАС ХАТА ГОРИТ, А У СОСЕДА ЕЩЁ И САРАЙ, ТУШИТЬ НЕ НАДО, СМОТРИТЕ ЛУЧШЕ, КАК У СОСЕДА САРАЙ ГОРИТ
Какую ротацию, ебланоид. Спиздили клиентские сертификаты
Чел блять, я по СШа по нужным людям находил даже могилы неродившихся детей, т.е. можно даже аборт узнать когда был и потом использовать эту инфу для раскрутки жертвы что типа я вижу вокруг тебя ауру умершего ребенка без имени.
амеры тупые верят во всю эту хуйню, т.к. набожные.
Как это умаляет факт того, что в РФ просрали сайт с личными данными налогоплательщиков?
Ты про твич что ли не слышал
Какие ещё клиентские сертификаты, что за бред ты несешь вообще?
Что эти мифические "клиентские сертфикаты" делают вообще?
Если там реально где-то есть что-то с доступом по сертификату, то он ассиметричный -- ты можешь хоть в паблик такие серты выкладывать.
>в открытом виде
А кто сказал про "в открытом виде"?
Там выше кидали ссылку на тг. Можно оттуда скачать
какой еще сайт? какие там могут быть данные, забей.
я тебе реально тему говорю. я старух штатовских развожу
просто пишу им простыни потом в скайпе дожимаю
одна такая была, я нашел по сайтам кладбищ ее брата по прописке и потом нашел что она хоронила своего абортированного младенца а там еще фотки могил есть и там овечка нарисована. вот я ее к дню смерти и развел что пиздец. она поверила что я посланник Исуса и прислал послание от ее неродившегося сына. Учись сопля...а то сайты какие-то рф какая-то
>ебали стандарты
>на разработку собственных им выделяется хуева туча денег
>ИРЛ тупо перевели очередной ISO стандарт, а вместо ISO влепили "ГОСТ". Остальное попилили.
Трустри, лол.
так это ОСТы а не ГОСТы тупой осел малолетний
Мань, я с ГИС не первый год работаю, иди на хуй со своими маняпредставлениями.
Эльбрусы и телефоны делают потому что есть где спиздить. И в итоге все равно их подгоняют под стандарты, чтобы совместимость можно было строить. И это не стандарты нихуя, это реализации.
В OAuth тупо нечего пиздить. Ну если так неймется, можно токены внутри OAuth подписывать ГОСТовским шифрованием -- это при этом всё равно останется OAuth, школьник ты безграмотный. Нахуя придумывать свою спецификацию если есть нормальная работающая, отвечающая всем требованиям защиты?
А жаль. Мне так-то нравилась эта хуета. Мне казалось что вот тут-то, тут программисты наши не подкачали - работает хуета, пользу приносит! И ничего, что она поначалу пиздец как глючило и выводило из себя, но сейчс-то - работает! Не то, что наши самолет там, или автомобили. Тут - смогли! Жаль будет, если тоже не смогли.
> На сколько понял слиты только сорсы проекта, так что настоящие дыры через которые можно добраться до базы будут в ближайшем будущем.
this
> Пока сорсы разберут по косточкам чтоб слить базу пройдет немало времени.
это смотря насколько наносекам нечего делать. если совсем нечего - быстро расковыряют
По русски можно?
А дело не в пограммистах. Косяк тех кто деплоил или настраивал пайплайны CI/CD.
Поясните кто-нибудь, что, блять, в исходном КОДЕ может весить 7 ебучих гигабайт? Это же за 10 жизней столько не набрать работая 8*5.
Верстка с иЗОГброжениями, бинарики они тяжелые а учитывая сколько таких коммитов могло быть то легко, фикстуры, сотнимильенов миграций и автогенерированного кода, да дохуя чего. Короче просто вся история изменений.
Возрадуемся, Братия и Сестры!
Скоро в сети появятся генераторы Настоящих QR-кодов, которые будут проверяться по госуслугам как подлинные.
$ grep ^upload/ gosuslugi.txt | wc -l
41311
$ grep ^upload/ gosuslugi.txt | head -n 50
upload/234.xml
upload/333333.xml
upload/.access.php
upload/calendars
upload/calendars/calendar2020.xml
upload/calendars/calendar2021.xml
upload/docs.xml
upload/forms
upload/forms/1544800421.pdf
upload/forms/1544800421.xml
upload/forms/1544800766.pdf
upload/forms/1544800766.xml
upload/forms/1544800778.pdf
upload/forms/1544800778.xml
upload/forms/1544801301.pdf
upload/forms/1544801301.xml
upload/forms/1544873806.pdf
upload/forms/1544873806.xml
upload/fpgu.xml
upload/FRGU
upload/FRGU/000
upload/FRGU/000/00099578d8eae21c8e3777c4f6a641d8.xml
upload/FRGU/000/000ffc9a477ea551235ce43afe9c05ea.xml
upload/FRGU/000/2Гражданский кодекс Российской Федерации (часть вторая) от.rtf
upload/FRGU/000/80-arkhivnye-fondy.doc
upload/FRGU/000/forma-zayavleniya-k-reglamentu-31.docx
upload/FRGU/000/Блок земля в безвозмездное .doc
upload/FRGU/000/Заявление.doc
upload/FRGU/000/заявления.doc
upload/FRGU/000/Приказ.docx
upload/FRGU/001
upload/FRGU/001/001816e1ae50fa24955c32dc3c97ddbc.xml
upload/FRGU/001/001ee45955718578fffcdc9192bbb7f0.xml
upload/FRGU/001/101_fz.docx
upload/FRGU/001/forma-zayavleniya.docx
upload/FRGU/001/zapros-o-predostavlenii-vypiski-iz-reestra-munitsipalnogo-imushchestva-_-obrazets.docx
upload/FRGU/001/zayavlenie-_-primer-inf.-po-dok.-arkh.-fondov.doc
upload/FRGU/001/Гражданский кодекс Российской Федерации (часть первая) от.rtf
upload/FRGU/001/заявление-программы.doc
upload/FRGU/002
upload/FRGU/002/00271e8c17152403d7428ec4fa6b242a.xml
upload/FRGU/002/002c87200732028d21bc11a5b1803c9d.xml
upload/FRGU/002/_-29.06.2012-_-37.pdf
upload/FRGU/002/294-ФЗ RTF.rtf
upload/FRGU/002/_2.doc
upload/FRGU/003
upload/FRGU/003/003a955fe715c790615d659199c3efcd.xml
upload/FRGU/003/003dccbe08dfad174f28567e7db46658.xml
upload/FRGU/003/003e6985695dd5db8d75d6a770fb06e3.pdf
upload/FRGU/003/1 заявление на внесение изменений.doc
Нет, долбаеб. За это отвечает ИС Минздрава а не госуслуги.
>>260322110
полный список файлов: http://myfiles.pro/uploads/191894413.gosuslugi.txt
архив сами качайте, не хочу сесть на швабру за распространение.
du -sh | sort -hr | head сделай, ёпта, только без гит директории
А пайплайны тут при чем? Если программисты сунули .git в передачу -- хули тут поделаешь-то.
Лахтопидорахенс тут с утра отрабатывал по методичке, что госуслуги охуенны, анало говнет. Где ты, чмоня? Бегом перекрывать, а не то отдолблю
Ты дебил? Репа отдельно, девопсы деплоят отдельно, если ты уровня девопса который клонирует всю репу на прод то у меня для тебя плохие новости.
Либерахопидор, в еуропе намного меньше услуг в элетронном виде. Изволь живую очередь стоять и принимающий может принять вне очереди не тебя. Ну как там, в виртуальной еуропе?
Собственно, и что?
Мне, как рядовому мимокроку от этого ни горячо ни холодно.
> upload/.access.php
дай угадаю, там WSO?))))
шта? это битриксовская фишка
вот тут поддвачну.
путин - вор и убийца, володин - гей, сын пригожина - тоже гей, лахтовики ощущают себя шлюхами, боинг сбили драмнбасовцы из российского БУКа, и так далее, но госуслуги как сервис - охуенны.
Только выиграли, теперь все уязвимости и баги будет быстро находить и фиксить комьюнити + прозрачность бизнеса
да нахуй ты вообще упал. можно спиздить паспорт абу и наоткрывать на него кредитов/аккаунтов на сайтах геев, короче всё как мы любим.
Спасибо Абу!
СУКА причем тут тунец нахуй?
Я предупреждал кого мог, что взлом этой параши - вопрос месяцев. Но нет, это ведь удобно, квиркод, вставьте причину.
>ты недооцениваешь количество бабла вливаемого в цифровой гулаг.
Это говорит ровно ни о чём. Бабла могли влить кучу, а писали всё равно студенты на коленке.
Бабло вливают в чёрную дыру, она только всё поглощает, а толку никакого. Бабло вливают в пустоту