据两名发现该漏洞并与 404 Media 分享该漏洞的人士称,为追踪伊隆·马斯克削减联邦政府开支而建立的 doge.gov 网站并不安全,它提取的数据来自一个任何人都可以编辑的数据库。一名程序员添加了至少两个在实时网站上可见的数据库条目,并说“这是一个可笑的 .gov 网站”和“这些‘专家’让他们的数据库保持开放 -roro。”
埃隆·马斯克周二告诉记者,他的政府效率部“正努力做到尽可能透明”,随后 Doge.gov 被匆忙部署。事实上,我们的行动——我们将我们的行动发布到 X 上的 DOGE 账户和 DOGE 网站上。当时,DOGE 基本上是一个空白网页。周三和周四,它进一步完善,现在显示了 @DOGE X 帐户帖子的镜像,以及有关美国政府联邦工作人员的各种统计数据。
两位因调查联邦网站而要求匿名的 Web 开发专家告诉 404 Media,doge.gov 似乎是在 Cloudflare Pages 网站上构建的,而该网站目前并未托管在政府服务器上。该网站提取的数据可能由第三方写入,而且已经由第三方写入,并将显示在实时网站上。
两位消息人士均向 404 Media 表示,他们注意到 Doge.gov 正在从 Cloudflare Pages 网站提取数据,而运行它的代码实际上是在该网站上部署的。
一位消息人士告诉 404 Media,在研究了网站的架构并找到数据库的 API 端点后,他们能够将更新推送到政府就业信息数据库。
该人向我展示了他们可以推送到网站上的两个数据库条目,在我撰写本文时,这两个条目仍在 doge.gov 上(存档于此处https://archive.is/XzvTY
和此处https://archive.is/cMeco
):
“感觉就像是完全拼凑起来的,”他们补充道。“页面源代码中泄露了大量错误和细节。”
两位消息人士均表示,该网站的设置方式表明它并非在政府服务器上运行。
“基本上,doge.gov 有自己的代码库,可能是通过 GitHub 或其他方式,”另一位注意到不安全性的开发人员说。“他们从他们的代码库在 Cloudflare Pages 上部署网站,而 doge.gov 是他们的 pages.dev URL 设置的自定义域。因此,他们没有使用物理服务器或甚至像 Amazon Web Services 这样的服务器,而是使用支持自定义域的 Cloudflare Pages 进行部署。”
周三,我们报道了 waste.gov,另一个用于跟踪政府浪费的网站,目前仍处于运行状态,其中包含占位符 Wordpress 默认模板页面和示例文本。我们的文章发表后,waste.gov 被置于密码墙后面。据广泛报道,DOGE 已获得包括财政部在内的各政府机构代码库的管理员访问权限。
原文始发于微信公众号(独眼情报):美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论