Не так давно Федеральная Миграционная Служба запустила новый сервис по проверки паспортов граждан Российской Федерации. Вводишь номер и серию, а тебе на е-мэйл приходит информация о том, существует данный паспорт или нет.

http://62.231.20.72:7778/fmsservice/passportpermit/index.jsp

Но видимо они явно поспешили, выкладывая эту вещь в Интернет.

Безопасная captcha

Первое, что я заметил – это сильная защита от авторега.

Расшифровывается путём просмотра HTML кода страницы (достаточно найти имя рисунка)

<td align="center">
<img src="../img/temp/finalTL879M.jpg" />
</td>

Таким образом возможно автоматическое заполнение данной формы с помощью программы-робота.

Повтор

Дальше было ещё лучше. Я выполнил запрос на произвольный номер паспорта.

http://62.231.20.72:7778/fmsservice/prfrequest?series=4844&num=873456&email=sachk@yandex.ru&checksign=tl879m

Он пришёл на е-мэйл. Я взял код http запроса и используя старый checksign отправил новый запрос, но с другим номером.

http://62.231.20.72:7778/fmsservice/prfrequest?series=7777&num=777777&email=sachk@yandex.ru&checksign=tl879m

Отчёт пришёл мне на е-мэйл.

В итоге, один раз выполнив запрос (а точнее получив значение checksign – это то, что написано на картинке captcha) мы можем написать простенький скрипт, который сливает все отчёты по всем номерам паспортов на разные е-мэйлы. Т.е. мы можем получить всю базу.

Насколько это серьёзно не берусь сказать. Ведь сервис позволяет только узнать, существует паспорт или нет. Но так явно дела не делаются.

Разработчикам об ошибке я уже сообщил. На настоящий момент сервис не отзывается...

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии