Уязвимость в "Госуслугах"

опубликовано:  08.08.2020  <весь блог>

Я и супруга имеем аккаунты на "Госуслугах", а всеми бюрократическими делами занимаюсь я - слежу, оплачиваю, оформляю заявления и т.п. Разумеется, с одного и того же браузера. Сегодня увидел интересное: не мог зайти в аккаунт жены после того, как полазил в своём. То есть, после своей сессии нажал "выйти", потом нажал "войти", сменил пользователя, набрал пароль (разумеется, от аккаунта жены) и... Оказался опять в своём аккаунте.

Подохренел, почесал репу. Одним из свойств моего мозга является мгновенное восприятие информации на экране, и я не совершаю ошибок а-ля "ввёл не тот телефон / имя пользователя". Точно помню, что вводил телефон жены. Даже если по запарке ввёл свой пароль (вот это уже бывает, он весь в звёздочках же) - пустить всё равно не должно.

Эх, раз, ещё раз, ещё много, много раз - всё то же. Логин - телефон жены, пароль - от аккаунта жены. А попадаю чётко в свой аккаунт.

Как веб-разработчик, понимаю, что дело в куках. Очищаю все куки домена gosuslugi.ru - та же петрушка. Вижу, что, несмотря на очистку куков, система помнит последнего пользователя. Поднимаю взгляд на адресную строку - светится домен esia.gosuslugi.ru - именно через него производится аутентификация. Очищаю куки с этого домена - вуаля! Никто больше ничего не помнит, и я наконец-то могу зайти в аккаунт жены.

Брешь довольно адовая, поскольку, получается, система при каких-то условиях заходит в аккаунт последнего пользователя, несмотря на то, что вход производится совсем в другой. Эксплуатировать сложно, но можно. Вообще не понимаю, как так напрограммировали. Это при том, что проект "Госуслуги" как разработчику мне даже в какой-то степени нравится - редко когда видел там неприятные глюки, сделано вроде неплохо, работает сносно. И - такой косяк.

©2020, Анатолий Савенков

комментариев: 3

блог по годам: 2005 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024

Комментарии

1  Кот ДаВинчи гость	08.08.2020 10:09
Да ладно тебе, на исправление подобных мелких багов у них уйдет не больше полугода :) Запись к врачу, например, через них до сих пор через жопу работает - а ведь четвертый год уже пошел...
+0

2  Flora ))) гость	08.08.2020 11:26
"Разумеется, с одного и того же браузера." Разумеется??? А зачем с одного и того же? Подобные вещи реально удобнее делать в разных браузерах, т.е. у одного все профили в одном браузере, у другого на тех же сайтах, но в другом браузере.
+7

3  SaAnVi tzar	08.08.2020 15:13
> Подобные вещи реально удобнее делать в разных браузерах Может быть, а может быть и проще держать один браузер вместо двух. :)
+0

↑ к началу комментариев    ↑↑ к началу страницы

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.