Skip to content
Spajkovo

Spajkovo

postřehy z kyberprostoru

Primary Menu
  • 🏠
  • 🔐 Příručka bezpečnosti
  • 📚 Slovník pro boomery
  • 📌 Nástěnka
  • ☠️ Kalkulačka smrti
  • 🍔
    • 🧭 Kontakty a rozcestník
    • 🌐 Pavelmatejicek.cz
    • 🔞 Můj životní příběh
Poslední Kyberkurz
  • Home
  • Bezpečnost
  • Politické strany a bezpečnost jejich webů před volbami 2021
  • Bezpečnost

Politické strany a bezpečnost jejich webů před volbami 2021

spajk 21.9.2021
stažený soubor

Jak bezpečné jsou webové stránky 10 největších politických stran?

😥 Tak přesně na tuhle otázku jsem se vydal hledat odpověď a co jsem našel se Vám možná nebude moc líbit. 

Tento blog je vesměs apolitický a stejně tak jsem přistupoval k testu zranitelností – objektivně.

Co mě k tomu vedlo

Přiznám se že jsem lehce na pochybách koho volit. Po letech volení pirátů mě lehce zklamala jejich sociální politika, resp. levicový směr, kterým se ubírá a tak jsem se rozhodl mrknout po alternativě. V posledních měsících jsem udělal mnoho změn a tak se nabízelo mrknout i na jiné strany, které jsem normálně nesledoval.

Když už jsem projížděl jejich weby, na jednom mi vyskočilo upozornění na hodně trackerů. A to mě přimělo podívat se nejen na trackery, ale i na Shodan. A nestačil jsem se divit. Rozhodl jsem se tedy vzít 10 nejsilnějších stran (i jednotlivé v koalicích) a ty postupně proskenovat.

Konkrétně se tedy jednalo o tyto strany: TOP09, KDU-ČSL, Piráti, ODS, STAN, ANO, KSČM, SPD, ČSSD, PŘÍSAHA.

Článek pokračuje dál, ale pokud jste spíš na video, tak jsem ho pro Vás udělal. 🙂

https://vimeo.com/610724444

Co jsem zkoumal

Zaměřil jsem se na Cross-site scripting, zranitelnost, díky které můžete někomu do webu vložit svůj (cizí) kód. Dále jsem zkoumal aktuálnost a případně zranitelnosti webserverů ale i operačních systémů, na kterých běží. A také jsem se zaměřil na stáří použitých technologií jako je JavaScript (Jquery), PHP a dalších knihoven. Používal jsem Shodan, Vulscan, VulnX a nástroje od PentestTools.

Jak to dopadlo

Žádná hitparáda. 🙂 10 stran, 10 webů a:

  • 5 webů z 10 má kritickou zranitelnost
  • 4x se jedná o XSS
  • 4x o zastaralý knihovny (JS/PHP)
  • 1x 11 let starej Apache (možná má bakportované opravy a tváří se tak jen navenek)
  • 1x 2 roky starej WordPress


Stupně vítězů bez kritických zranitelností aka nejméně chybové weby:

1. Piráti
2. ODS
3. KDU
4. ANO
5. ČSSD

Průšvih nejvíc byl asi web TOPky, hlavně kvůli mnoha (34!) zranitelnostem ve starém Apache.

Odhalené zranitelnosti vychází z detekce verze webserveru a protože RHEL 6 (a tím i CentOS 6) měli právě verzi 2.2.15 jako základ a sami si jí patchovali, je tedy možné, že mají opravy zmiňovaných CVE backportované – tedy se jako děravý může tvářit jen navenek. Důležité tedy je, jak dopadne vnitřní kontrola. Díky čtenáři root.cz za upozornění, že toto info tu chybělo.

Aktualizace 23.9.2021;13:42 – Admin webu potvrdil backportované aktualizace u Apache i PHP, reálně se tam tedy zranitelnosti (naštěstí) nenachází.

Důkazy

Z taktických důvodů reporty a výstupy nezveřejňuji, předal jsem je webmasterům. Nicméně výše uvádím seznam nástrojů, takže o tom, že nekecám, se může každý přesvědčit sám. A níže vkládám alespoň pár obrázků. 🙂

msedge_Lei86XAPO0
EYvY3pjUVL
msedge_qXIkttBuMU

Kdo se ozval zpět

Reportoval jsem všechny zranitelnosti které nástroje označily jako kritické (či High), tedy jsem oslovil 5 stran či dodavatelů jejich webů. Někdy jsem musel kontaktovat člověka ze strany napřímo, ať info předají webmasterovi, jindy zas společnost které web dělala, ale měli jen formulář. Docela by pomohlo, kdyby všichni používali soubor security.txt. V tomto případě se nacházel u 4 webů z 10, jmenovitě u Pirátů, Přísahy, Starostů a ANO.

Aktualizace: Zatím (23.9.2021;07:53) se s poděkováním a informací že už to řeší ozvala zpět SPD (několik hodin po ohlášení), druhý den Přísaha a STAN. Dopoledne se ozvala TOPka a kolem oběda se ozvalo i ANO. Jediný kdo se tedy zatím neozval je KSČM, byť jsem zahlédl že někdo se na můj web koukal z domény mail.kscm.cz – tak to asi teprve hledá cestu ke správným lidem. 🙂
Aktualizace2: Po týdnu se ozvala i firma spravující web KSČM.

Skenování zranitelností

Kdybyste chtěli oskenovat Vaše webovky či servery, proškolit zaměstnance na IT bezpečnost či podrobit svou firmu phishingovému testu, mrkněte na BOIT.cz nebo se mi ozvěte.

Co s tím?

No, všechny kritické zranitelnosti jsem již nareportoval správcům webu nebo dostupným kontaktům, takže teď je míč na jejich straně. Některé nalezené zranitelnosti, třeba ukradení cookies, by nemělo v tomto případě moc velký dopad, protože na web se nikdo nepřihlašuje, to ale neznamená, že že by to tam mělo být. 🙂

Disclaimer: Použity byly pouze veřejně dostupné nástroje v pasivním, neinvazivním režimu a ani nebylo testováno prolamování jakýchkoliv bezpečnostních prvků. Stejně tak není cílem jakoukoliv stranu poškodit.

 


🔥 Čaj, všiml/a sis, že tenhle web je bez reklam? 🤔

💸 Nesbírám a neprodávám data návštěvníků. 💸
🕵️‍♂️ Respektuji Vaše soukromí. 🕵️‍♂️
🌎 Píšu pro dobro lidstva. 🌎

❤️ Líbil se ti článek? ❤️

Tak mi kup kafe!

Nebo pošli BTC:bc1qzcu2325kc89lx7zf07vaud8yqx04aemu8ayggu


Discover more from Spajkovo

Subscribe to get the latest posts sent to your email.

Tags: Bezpečnost

Continue Reading

Previous: Blagging – podvodná žádost o finanční pomoc
Next: Brave Talk – bezpečné videohovory zdarma

Podobné novinky

Snímek obrazovky 2025-07-17 v 13.10.06
  • Bezpečnost
  • Phishing
  • Windows

FileFix: Když Průzkumník Windows spouští útok

spajk 18.7.2025
1749132826695
  • Bezpečnost
  • Phishing
  • Rychlovky

Radí vám kámoš od policie abyste si ověřili WhatsApp? Je to podvod.

spajk 13.7.2025
Snímek obrazovky 2025-07-09 v 16.09.52
  • Bezpečnost
  • Blog

Hackerův manifest

spajk 9.7.2025
Orange Professional Course Instagram Post-2

▶️ YouTube:

📷 Instagram

spajkovo_hackovani

👾 Etický hacker
🎮 Gamer (PC, PS5, Nintendo)
🐧 Linuxák a jablíčkář 🍎
🖨️ 3D tisk (SLA i filament)
🚁 Drony a aerial foto
📟 Geek na soft i HW
💻 Psavec

Další cert do sbírky 🥸 Další cert do sbírky 🥸
Instagram post 18049047509183972 Instagram post 18049047509183972
Tak jsem si s tím AUGem a Deaglem vystřelil krom Tak jsem si s tím AUGem a Deaglem vystřelil kromě CSka i naživo 🥳 A Olče to šlo s Kalachem a Dragunovem. 😅
Instagram post 17913521214117779 Instagram post 17913521214117779
Instagram post 18064185239131049 Instagram post 18064185239131049
🐢🥷 🐢🥷
Ve středu jsem měl tu čest promluvit k lidem ze Ve středu jsem měl tu čest promluvit k lidem ze ŠKODA AUTO a.s. v rámci Dne F. Tématem byla osobní bezpečnost, a fakt to nebyla nuda - takhle jsem se s publikem už dlouho nezasmál. 🤣 Díky všem za super dotazy a za pozvání. 

PS: naše barvy v BOIT Cyber Security s tím Elroquem v RSku docela ladí, co? :)
Takže asi tolik k účinnosti havranů 🖕🕊️
Instagram post 18064999078877395 Instagram post 18064999078877395
🎙️ S Ondrou Holanem a @jana_rychterova jsme s 🎙️ S Ondrou Holanem a @jana_rychterova jsme si zas povídali o bezpečnosti nejen pro děti na @radiojunior_cro ✌️
Buchty z lesa Buchty z lesa
Moje první Kuksa Moje první Kuksa
Moudro pro dnešní den: Moudro pro dnešní den:
Žižkovská věž dnes poslala paprsek do nebe ✊
Selfie s Františkem, origo jsem nestihl, tak aspo Selfie s Františkem, origo jsem nestihl, tak aspoň takhle.
Za pár minut mi budou volat z @crodvojka, tak to Za pár minut mi budou volat z @crodvojka, tak to chce dobrý kafe.
Instagram post 18308207650235019 Instagram post 18308207650235019
Instagram post 17949990350822312 Instagram post 17949990350822312
Sledujte mě na Instáči
Podpořte web:

Kupte mi kafe

Copyright © All rights reserved. | MoreNews by AF themes.
Spravovat Souhlas
Abychom poskytli co nejlepší služby, používáme k ukládání a/nebo přístupu k informacím o zařízení, technologie jako jsou soubory cookies. Souhlas s těmito technologiemi nám umožní zpracovávat údaje, jako je chování při procházení nebo jedinečná ID na tomto webu. Nesouhlas nebo odvolání souhlasu může nepříznivě ovlivnit určité vlastnosti a funkce.
Funkční Vždy aktivní
Technické uložení nebo přístup je nezbytně nutný pro legitimní účel umožnění použití konkrétní služby, kterou si odběratel nebo uživatel výslovně vyžádal, nebo pouze za účelem provedení přenosu sdělení prostřednictvím sítě elektronických komunikací.
Předvolby
Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem.
Statistiky
Technické uložení nebo přístup, který se používá výhradně pro statistické účely. Technické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
Marketing
Technické uložení nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo několika webových stránkách pro podobné marketingové účely.
Spravovat možnosti Spravovat služby Správa {vendor_count} prodejců Přečtěte si více o těchto účelech
Zobrazit předvolby
{title} {title} {title}