На официальном сайте Интерпола любой желающий может "объявить в розыск" кого угодно

10/12/2004 09:31

На сайте международной правоохранительной организации "Интерпол" пользователями Интернета была обнаружена уязвимость, позволяющая любому желающему создать в рамках сайта страницу с произвольной фотографией и подписью к ней. Как описывает в своем интернет-дневнике выпускающий редактор издания MosNews.com Николай Данилов, чтобы воспользоваться уязвимостью, нужно сформировать адресную строку (URL) вида http://www.interpol.int/ Viewer/viewphoto.asp? ImageName=[адрес фотографии] &Text=[произвольный текст]. Фотография может быть любая и может находиться в произвольном месте в Интернете. Текст также может быть любой. Если зайти с помощью браузера по сформированному таким способом адресу, то в результате на подлинной странице сайта Интерпола появится указанная пользователем произвольная фотография и введенный им текст. Такую страницу можно легко принять за реально размещенную на сайте этой организации информацию. Таким образом можно, например, фальсифицировать сообщения о том, что кого-либо якобы разыскивает Интерпол - это может быть использовано в разных целях - например, для розыгрышей. Использовав некоторые особенности формирования URL (заменив буквы кодами), можно сделать адрес менее "очевидным" и выглядящим более "техногенно". Предположительно, подобная особенность является следствием недосмотра (по мнению некоторых экспертов - низкой квалификации) создателей программного обеспечения для сайта. По всей вероятности, после появления сообщений в СМИ уязвимость будет через какое-то время исправлена и вышеприведенная ссылка на сфабрикованную страницу в таком случае может не приводить к описанному результату.
Более подробно