Następny serwer rządowy z błędami - parp.gov.pl

Aplikacja strony "Polskiej Agencji Rozwoju Przedsiębiorczości" (PARP) zawiera błędy.

Są to błędy dzięki którym mamy możliwość czytania praktycznie dowolnego pliku konfiguracyjnego na serwerze (oprócz /etc/shadow), wymaga to tylko znajomości systemu Linux oraz wiedzy gdzie są jakiego typu pliki przechowywane na takim serwerze.

Każdy z plików konfiguracyjnych daje nam dużą wiedzę na temat działających usług w systemie. Na pewno wiedza na temat konfiguracji serwera jest przydatna dla agresora i ułatwiłaby mu próbę ataku w celu nieautoryzowanego wejścia na serwer, co może doprowadzić do przejęcia nad nim kontroli.

Serwer rządowy z powodu tych oraz innych blędów, pod względem bezpieczeństwa klasyfikuje się bardzo nisko.

Polska Agencja Rozwoju Przedsiębiorczości (PARP) została powiadomiona o błędach.

Przykładowy plik: /etc/passwd