[Αποκλειστικό] Εντοπισμός αδυναμίας στην ιστοσελίδα του TaxisNet από τον «lmator»

2012-01-30 21:51

Με στόχευση εναντίον της Γενικής Γραμματείας Πληροφοριακών Συστημάτων (ΓΓΠΣ) έκανε το «ντεμπούτο του» ο νεοεμφανιζόμενος hacker με το ψευδώνυμο «lmator». Σύμφωνα με πληροφορία που απέστειλε ο «lmator» στη συντακτική ομάδα του SecNews και την οποία μεταδίδουμε με κάθε επιφύλαξη μιας και δεν την έχουμε επιβεβαιώσει μέχρι αυτή την στιγμή, ο «Imator» εντόπισε αδυναμία XSS στην ιστοσελίδα πρόσβασης της Γενικής Γραμματείας Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών. Είναι γνωστό οτι η Γενική Γραμματεία Πληροφοριακών Συστημάτων έχει υλοποιήσει και λειτουργεί παραγωγικά το Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας, γνωστό ως TAXIS (TAX Information System). Το TAXIS αποτελεί το μεγαλύτερο έργο πληροφορικής στην Ελλάδα.

Όπως διαβάζουμε στην ιστοσελίδα της Γενικής Γραμματείας, η τεχνολογική υποδομή του TAXIS αποτελείται από ένα ολοκληρωμένο on line δίκτυο 282 περιφερειακών υπολογιστών (ένας υπολογιστής-server για κάθε Δ.Ο.Υ.), 8.600 θέσεων εργασίας κατανεμημένων στις Δ.Ο.Υ. ανάλογα με το μέγεθός τους και ενός κεντρικού υπολογιστικού εξοπλισμού στη Γ.Γ.Π.Σ. Οι εφαρμογές του TAXIS δημιουργήθηκαν με σκοπό να αυτοματοποιήσουν και να μηχανογραφήσουν το σύνολο των εργασιών των Δ.Ο.Υ. και εγκαταστάθηκαν σταδιακά σε παραγωγή από το Μάρτιο του 1998 έως τον Σεπτέμβριο του 2001 στο σύνολο των Δ.Ο.Υ. (282).

Σύμφωνα με τον «lmator», ο ίδιος χρησιμοποίησε κατάλληλα ρυθμισμένο proxy μεταξύ server-client όπου με κατάλληλη τροποποίηση των δικτυακών αιτημάτων (web requests)  διαπίστωσε την ύπαρξη XSS αδυναμίας. Σύμφωνα με τον «lmator»  η αδυναμία επιβεβαιώνεται απο τα παρακάτω Screenshots  που μας απέστειλε:

 

http://www.secnews.gr/archives/37692

Επικοινωνία

hmerologio

hmerologio

 

Μπορείτε να μας βρείτε και εδώ

 

Επικοινωνία

Ραδιόφωνο Άνω Βριλησσίων radioanovrilissia@yahoo.com