sepa.gov.rs

[maxxa]

Želeo sam samo da saznam do kada cveta ambrozija... Na žalost stanje ovog sajta je slično ekologiji u Srbiji.

Nema SSLa i radi se redirekcija sa porta 443 na port 80 - it's a feature! Mislim da bih to nazvao obrnutom redirekcojom, obrnutom od prakse i zdravog razuma. Možda u potpis stavim i to da postoji besplatan sertifikat https://letsencrypt.org/ 

Na žalost osim toga je tu i otvorena baza mysql, ftpd, apache... CVE spisak je predugačak, više detalja na Shodanu:
https://www.shodan.io/host/77.46.150.206

Određeni resursi se nalaze na http://prtr.sepa.gov.rs/ koji redirektuje na IP adresu - one more feature!
Tu je tek tuga i sa verzijom PHP-a, zastarelom verzijom WordPress-a... i naravno neadekvatno zaštićenim resursima samog CMS-a, pa je tu i directory listing:
http://77.46.150.218/wp-content/uploads/

[y0d4]

horror... Uvidjam patern propusta kod drzavnih institucija, jel moguce da jedna firma radi skoro svim drzavnim institucijama infru?

[1van]

Prpeoruka: Omogućiti pristup samo preko HTTPS, isključiti directory listing, instalirati security zakpre za sve servise i onemogućiti pristup servisima koji ne moraju biti dostupni preko interneta (npr. baza). Ako je potreban pristup bazi preko interneta, koristiti VPN/IPSEC tunel.

[maxxa]

Dodajem directory listing:
https://www.sepa.gov.rs/download/izv/
https://bioindicators.sepa.gov.rs/wp-content/uploads/

pronađeno pomoću google: "Index of" site:"gov.rs"

[1van]

Da dodam da nema TLS ni na http://www.ekoregistar.sepa.gov.rs/.

[maxxa]

IP:
77.46.150.206 sepa.gov.rs
77.46.150.205 ekoregistar.sepa.gov.rs
77.46.150.206 bioindicators.sepa.gov.rs
77.46.150.218 prtr.sepa.gov.rs