|
Не так давно Федеральная Миграционная Служба запустила новый сервис по проверки паспортов граждан Российской Федерации. Вводишь номер и серию, а тебе на е-мэйл приходит информация о том, существует данный паспорт или нет.
http://62.231.20.72:7778/fmsservice/passportpermit/index.jsp
Но видимо они явно поспешили, выкладывая эту вещь в Интернет.
Безопасная captcha
Первое, что я заметил – это сильная защита от авторега.
Расшифровывается путём просмотра HTML кода страницы (достаточно найти имя рисунка)
<td align="center">
<img src="../img/temp/finalTL879M.jpg" />
</td>
Таким образом возможно автоматическое заполнение данной формы с помощью программы-робота.
Повтор
Дальше было ещё лучше. Я выполнил запрос на произвольный номер паспорта.
http://62.231.20.72:7778/fmsservice/prfrequest?series=4844&num=873456&email=sachk@yandex.ru&checksign=tl879m
Он пришёл на е-мэйл. Я взял код http запроса и используя старый checksign отправил новый запрос, но с другим номером.
http://62.231.20.72:7778/fmsservice/prfrequest?series=7777&num=777777&email=sachk@yandex.ru&checksign=tl879m
Отчёт пришёл мне на е-мэйл.
В итоге, один раз выполнив запрос (а точнее получив значение checksign – это то, что написано на картинке captcha) мы можем написать простенький скрипт, который сливает все отчёты по всем номерам паспортов на разные е-мэйлы. Т.е. мы можем получить всю базу.
Насколько это серьёзно не берусь сказать. Ведь сервис позволяет только узнать, существует паспорт или нет. Но так явно дела не делаются.
Разработчикам об ошибке я уже сообщил. На настоящий момент сервис не отзывается...
|
, 
