• Партнер

  • Не так давно Федеральная Миграционная Служба запустила новый сервис по проверки паспортов граждан Российской Федерации. Вводишь номер и серию, а тебе на е-мэйл приходит информация о том, существует данный паспорт или нет.

    http://62.231.20.72:7778/fmsservice/passportpermit/index.jsp

    Но видимо они явно поспешили, выкладывая эту вещь в Интернет.

    Безопасная captcha

    Первое, что я заметил – это сильная защита от авторега.

    Расшифровывается путём просмотра HTML кода страницы (достаточно найти имя рисунка)

    <td align="center">
    <img src="../img/temp/finalTL879M.jpg" />
    </td>

    Таким образом возможно автоматическое заполнение данной формы с помощью программы-робота.

    Повтор

    Дальше было ещё лучше. Я выполнил запрос на произвольный номер паспорта.

    http://62.231.20.72:7778/fmsservice/prfrequest?series=4844&num=873456&email=sachk@yandex.ru&checksign=tl879m

    Он пришёл на е-мэйл. Я взял код http запроса и используя старый checksign отправил новый запрос, но с другим номером.

    http://62.231.20.72:7778/fmsservice/prfrequest?series=7777&num=777777&email=sachk@yandex.ru&checksign=tl879m

    Отчёт пришёл мне на е-мэйл.

    В итоге, один раз выполнив запрос (а точнее получив значение checksign – это то, что написано на картинке captcha) мы можем написать простенький скрипт, который сливает все отчёты по всем номерам паспортов на разные е-мэйлы. Т.е. мы можем получить всю базу.

    Насколько это серьёзно не берусь сказать. Ведь сервис позволяет только узнать, существует паспорт или нет. Но так явно дела не делаются.

    Разработчикам об ошибке я уже сообщил. На настоящий момент сервис не отзывается...

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии