美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上

admin 2025年2月15日08:45:44评论28 views字数 1140阅读3分48秒阅读模式

美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上据两名发现该漏洞并与 404 Media 分享该漏洞的人士称,为追踪伊隆·马斯克削减联邦政府开支而建立的 doge.gov 网站并不安全,它提取的数据来自一个任何人都可以编辑的数据库。一名程序员添加了至少两个在实时网站上可见的数据库条目,并说“这是一个可笑的 .gov 网站”和“这些‘专家’让他们的数据库保持开放 -roro。”

埃隆·马斯克周二告诉记者,他的政府效率部“正努力做到尽可能透明”,随后 Doge.gov 被匆忙部署。事实上,我们的行动——我们将我们的行动发布到 X 上的 DOGE 账户和 DOGE 网站上。当时,DOGE 基本上是一个空白网页。周三和周四,它进一步完善,现在显示了 @DOGE X 帐户帖子的镜像,以及有关美国政府联邦工作人员的各种统计数据。

两位因调查联邦网站而要求匿名的 Web 开发专家告诉 404 Media,doge.gov 似乎是在 Cloudflare Pages 网站上构建的,而该网站目前并未托管在政府服务器上。该网站提取的数据可能由第三方写入,而且已经由第三方写入,并将显示在实时网站上。

两位消息人士均向 404 Media 表示,他们注意到 Doge.gov 正在从 Cloudflare Pages 网站提取数据,而运行它的代码实际上是在该网站上部署的。

一位消息人士告诉 404 Media,在研究了网站的架构并找到数据库的 API 端点后,他们能够将更新推送到政府就业信息数据库。

该人向我展示了他们可以推送到网站上的两个数据库条目,在我撰写本文时,这两个条目仍在 doge.gov 上(存档于此处https://archive.is/XzvTY和此处https://archive.is/cMeco):

美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上
美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上

“感觉就像是完全拼凑起来的,”他们补充道。“页面源代码中泄露了大量错误和细节。”

两位消息人士均表示,该网站的设置方式表明它并非在政府服务器上运行。

“基本上,doge.gov 有自己的代码库,可能是通过 GitHub 或其他方式,”另一位注意到不安全性的开发人员说。“他们从他们的代码库在 Cloudflare Pages 上部署网站,而 doge.gov 是他们的 pages.dev URL 设置的自定义域。因此,他们没有使用物理服务器或甚至像 Amazon Web Services 这样的服务器,而是使用支持自定义域的 Cloudflare Pages 进行部署。”

周三,我们报道了 waste.gov,另一个用于跟踪政府浪费的网站,目前仍处于运行状态,其中包含占位符 Wordpress 默认模板页面和示例文本。我们的文章发表后,waste.gov 被置于密码墙后面。据广泛报道,DOGE 已获得包括财政部在内的各政府机构代码库的管理员访问权限。

原文始发于微信公众号(独眼情报):美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月15日08:45:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上https://cn-sec.com/archives/3743807.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息