Перечень коррупционно-опасных функций Министерства социальной политики Свердловской области
Перечень коррупционно-опасных функций Министерства социальной политики Свердловской областиГлавная > Противодействие коррупции > Нормативные правовые и иные акты в сфере противодействия коррупции > Перечень коррупционно-опасных функций Министерства социальной политики Свердловской области
Противодействие коррупции
Приказ Министерства социальной политики Свердловской области от 15.08.2022 № 290 (.docx 15.9 KB) «Об утверждении Перечня коррупционно-опасных функций Министерства социальной политики Свердловской области»
- Президент
Российской
Федерации - Правительство Российской
Федерации - Федеральное собрание
Российской Федерации - Минтруд
Российской
Федерации - Губернатор
Свердловской
области
Свердловской
области- Областной
информационно-
расчетный центр - Организационно-
методический центр - Областной центр
реабилитации
инвалидов - АИС Доступная
среда - Портал
Дополняя
друг друга - Региональный банк данных о детях-сиротах и детях, оставшихся без попечения родителей
Этот сайт использует файлы cookies и сервисы сбора технических данных посетителей (данные об IP-адресе, местоположении и др.
) для улучшения качества работы сайта. Продолжая использовать сайт, Вы соглашаетесь с Положением об обработке персональных данных.
Согласиться Положение о персональных данных
Противодействие коррупции — Школа #358
Нормативные правовые и иные акты в сфере противодействия коррупции
Генеральная прокуратура Российской Федерации
Федеральное законодательство
Законодательство Санкт-Петербурга
Нормативные правовые и иные акты ГУ в сфере противодействия коррупции
План по противодействию коррупции в ОУ на 2023-2027 год (годы) и правовой акт о его утверждении.
План по противодействию коррупции в ОУ на 2020-2022 год (годы) и правовой акт о его утверждении.
Информация по исполнению плана мероприятий по противодействию коррупции в ГБОУ СОШ № 358 Московского района
Кодекс профессиональной этики работников ГБОУ СОШ №358
Положение о комиссии по противодействию коррупции в ГБОУК СОШ №358
Положение о комиссии по урегулированию споров между участниками образовательных отношений
Перечень коррупционно опасных функций, выполняемых ГУ
Перечень должностей ГУ, осуществление трудовых обязанностей по которым связано с коррупционными рисками
Карта коррупционных рисков ГБОУ СОШ №358 Московского района Санкт-Петербурга
Информация о комиссии по урегулированию споров между участниками образовательных отношений
Приказ от 17.
01.2023 № 35 о/д «О назначении ответственного лица профилактику коррупционных и иных правонарушений и ответственных лиц за направления работы по противодействию коррупции в 2023 году»
Приказ от 20.01.2023 № 46 «О плане мероприятий по противодействию коррупции на 2023-2027 год»
Протокол №1 заседания комиссии по противодействию коррупции 30.01.2023
Приказ от 10.01.2022 № 8 о/д » О назначении ответственного лица за профилактику коррупционных и иных правонарушений и ответственных лиц за направления работы по противодействию коррупции в 2022 году»
Приказ от 01.06.2022 № 480 о/д О внесении изменений в приказ №8 о/д » О назначении ответственного лица за профилактику коррупционных и иных правонарушений и ответственных лиц за направления работы по противодействию коррупции в 2022 году» от 10.01.2022
Приказ от 01.06.2022 № 480/1 о/д О мерах по противодействию коррупции
Приказ от 10.01.2022 №8 о/д «О мерах по противодействию коррупции»
Приказ от 10.01.2022 №9 о/д «Об утверждении Перечня коррупционно-опасных функций и должностей, подверженных коррупционным рискам»
Протокол №1 заседания комиссии по противодействию коррупции 28.
01.2022
Протокол №2 заседания комиссии по противодействию коррупции 24.04.2022
Протокол №3 заседания комиссии по противодействию коррупции 26.05.2022
Протокол №4 заседания комиссии по противодействию коррупции 30.11.2022
Приказ от 11.01.2021 № 5/2 о/д «Об утверждении перечня коррупционно-опасных функций и должностей, подверженных коррупционным рискам»
Приказ от 11.01.2021 № 5/1 о/д «О мерах по противодействию коррупции»
Протокол №1 заседания комиссии по противодействию коррупции 26.01.2021
Протокол №2 заседания комиссии по противодействию коррупции 29.04.2021
Протокол №3 заседания комиссии по противодействию коррупции 27.09.2021
Протокол №4 заседания комиссии по противодействию коррупции 20.12.2021
Приказ от 10.01.2020 №13 о/д «Об утверждении перечня коррупционно-опасных функций и должностей, подверженных коррупционным рискам»
Приказ от 10.01.2020 №14 о/д «О мерах по противодействию коррупции»
Протокол №1 заседания комиссии по противодействию коррупции 28.
01.2020
Протокол №2 заседания комиссии по противодействию коррупции 27.04.2020
Протокол №3 заседания комиссии по противодействию коррупции 21.06.2020
Протокол №4 заседания комиссии по противодействию коррупции 18.12.2020
Методические материалы → (подробнее)
Формы документов, связанных с противодействием коррупции, для заполнения
На официальном сайте Администрации Санкт-Петербурга в сети Интернет в целях оказания содействия государственным гражданским служащим Санкт-Петербурга и гражданам размещены формы обращений, уведомлений, заявлений, справок, заполняемых гражданскими служащими и гражданами в целях реализации действующего законодательства о противодействии коррупции. Здесь
Уведомление о склонении к совершению коррупционных правонарушений
Уведомление работодателя о возникновении конфликта интересов
Обратная связь для сообщений о фактах коррупции
СПЕЦИАЛЬНО ВЫДЕЛЕННАЯ ТЕЛЕФОННАЯ ЛИНИЯ «НЕТ КОРРУПЦИИ!»
+7 (812) 576-77-65
Специальная линия предназначена для направления гражданами информации о конкретных фактах коррупции.
На специальную линию также можно сообщать информацию о неисполнении (недобросовестном исполнении) служебных обязанностей государственными и муниципальными служащими, работниками государственных (муниципальных) учреждений и предприятий, нарушениях требований к служебному поведению и случаях конфликта интересов, превышении служебных (должностных) полномочий, нарушениях прав, свобод и законных интересов граждан и организаций, фактах вымогательства со стороны должностных лиц, необоснованных запретах и ограничениях.
Линия функционирует в режиме автоответчика с 9-00 до 18-00 по рабочим дням. Продолжительность сообщения — до 8 минут.
Данная линия не является «телефоном доверия» и предназначена только для приема сообщений, содержащих факты коррупционных проявлений согласно определению коррупции.
Поступившие сообщения, удовлетворяющие указанным требованиям, обрабатываются и затем рассматриваются в соответствии с Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке обращений граждан Российской Федерации».
Информации, поступившей на линию «Нет коррупции!», обеспечивается конфиденциальный характер. Не является разглашением сведений, содержащихся в обращении, направление обращения в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов.
Обращения, содержащие оскорбления и угрозы, не рассматриваются.
Постоянно действующая «Горячая линия» Комитета по образованию Санкт-Петербурга, правоохранительных и контрольно-надзорных органов по вопросам незаконных сборов денежных средств в ОО.
+7 (812) 576-20-19
(по рабочим дням с 09.00 до 18.00, без обеда)
Информационные материалы
Информационные материалы Генеральной прокуратуры РФ
Информационные материалы Администрации Санкт-Петербурга
МЫ ПРОТИВ КОРРУПЦИИ В ОБРАЗОВАНИИ
Небезопасное использование опасной функции
О внедрении команд Внедрение команд — это тип уязвимости системы безопасности, которая позволяет
злоумышленник для выполнения произвольных команд в целевой системе.
Это происходит, когда приложение принимает пользовательский ввод как часть команды.
или запрос, который выполняется системой без надлежащей проверки или очистки.
Например, рассмотрим веб-приложение, которое позволяет пользователям искать для продуктов, введя название продукта. Если приложение не должным образом очищать пользовательский ввод и передавать ввод непосредственно в командную оболочку операционной системы, злоумышленник может вставить вредоносный код во входные данные, который может быть выполнен командной оболочкой.
Это может привести к тому, что злоумышленник получит несанкционированный доступ к системе или выполнит другие вредоносные действия.
Посмотрите это видео, чтобы получить подробное объяснение:
Успешная атака с внедрением команд может иметь широкий спектр последствий, в зависимости от системы и целей злоумышленника. Вот несколько возможных воздействий:
- Несанкционированный доступ: Злоумышленник может получить несанкционированный доступ к системе или приложению, предоставив им доступ к конфиденциальным данным или функциям.
- Кража данных: Злоумышленник может украсть данные из системы, включая личную информацию, финансовые данные или другие конфиденциальные данные.
- Установка вредоносного ПО: Злоумышленник может установить вредоносное ПО в систему, что позволит ему еще больше скомпрометировать систему или использовать ее в качестве отправной точки для других атак.
- Отказ в обслуживании: Злоумышленник может запустить атаку типа «отказ в обслуживании», выполнив команды, перегружающие системные ресурсы, или удалив важные системные файлы.
- Компрометация системы: В некоторых случаях успешная атака с внедрением команд может привести к полной компрометации системы, позволяя злоумышленнику получить полный контроль.
Некоторые меры, которые могут помочь предотвратить атаки с внедрением команд, перечислены ниже. Используйте регулярные выражения или фильтры ввода, чтобы удалить или закодировать любые специальные символы, которые могут использоваться для выполнения произвольных команд.
Таксономии
- OWASP Top 10 — A03 Injection
- CWE-77: неправильная нейтрализация специальных элементов, используемых в команде («внедрение команды»)
- CWE-78: неправильная нейтрализация специальных элементов, используемых в ОС Команда («Внедрение команды ОС»)
Объяснение и предотвращение
- OWASP: Command Invection
- OWASP: Чит -лист команды
- Целостный инфосек: Инъекция команды — Риски
- Целостные инфосек: Command -Countermesures
- CVE DELATIO 78
- Secure Code Warrior: внедрение команд ОС
Go предлагает несколько способов выполнения команд операционной системы, например:
-
exec. Command() -
exec.CommandContext() -
syscall.Exec()
Command() Эта уязвимость позволяет пользователю запускать (обычно оболочку) команды на хост-машине. Обычно это приводит к злоумышленник, имеющий полный контроль над хост-машиной.
Эта уязвимость возникает, когда пользовательский ввод получает передается в функцию, которая позволяет выполнять команды на хост-машине.
Ссылки на правила:
- Информация OWASP о введении команд
- OWASP Command Injection Cheatsheet
- exec.Command Docs
- os.StartProcess Docs
Вариант A: Использование списка разрешений для определенных команд
список разрешений. Это означает, что могут быть запущены только заведомо правильные команды.
Определите уязвимые шаблоны (пример ниже):
func RunCommandEndpoint(соотв. http.ResponseWriter, req *http.Request) {
req.ParseMultipartForm(1024)если !exists || len(command) == 0 {
http.Error(resp, "Требуется значение формы 'cmd'", 400)
return
}prog := command[0]
args, exists := req.MultipartForm. Value["args"]if !exists {
args = make([]string, 0)
}exec.Command(prog, args...)
}
Санировать уязвимый шаблон с помощью набора ок значения (пример ниже):
var allowList map[string]struct{}func init() {
allowList["echo"] = struct{}{}
}func RunCommandEndpoint( resp http.ResponseWriter, req *http.Request) {
req.ParseMultipartForm(1024)
команда, существует := req.MultipartForm.Value["cmd"]если !exists || len(command) == 0 {
http.Error(resp, "Требуется значение формы 'cmd'", 400)
return
}prog := command[0]
args, exists := req.MultipartForm. Значение["аргументы"]если !exists {
args = make([]string, 0)
}if _, ok := allowList[prog]; OK {
Exec. command (Prog, Args ...)
}
}
Тест
Корабль It 🚢 и расслабьтесь 🌴
MultipartForm.Value["cmd"] 
command (Prog, Args ...) . Опция B: Нельзя позволить. Контролируется пользователем
Это решение довольно простое. Он работает, удаляя возможность передачи пользовательского ввода в уязвимый функция.
Это можно сделать разными способами, например:
- Наличие сопоставления строк с функциями
- Разделение функциональности на разные функции
- Использование перечисления для обозначения вызываемой команды
- и т. д.
Найдите уязвимые шаблоны (пример ниже): CallOSCommand(userInput string, args …string) {
exec.Command(userInput, args…)
}Замените уязвимый шаблон одним из приведенных выше методов (пример ниже):
В этом примере для решения задачи используется перечисление
type OSProgram uint64
const (
LS OSProgram = iota
Cat
Echo
Grep
)switchOSCallOSCommand, 1 .
.. program {
case LS:
exec.Command("ls", args...)
case Cat:
exec.Command("cat", args...)
case Echo:
exec.Command("echo" , args...)
case Grep:
exec.Command("grep", args...)
}
}
Протестируйте
Отправьте 🚢 и расслабьтесь 🌴
.. program { Небезопасное использование опасной функции злоумышленник для выполнения произвольных команд в целевой системе. Это происходит, когда приложение принимает пользовательский ввод как часть команды. или запрос, который выполняется системой без надлежащей проверки или очистки.
Например, рассмотрим веб-приложение, которое позволяет пользователям искать
для продуктов, введя название продукта. Если приложение не
должным образом очищать пользовательский ввод и передавать ввод непосредственно в
командную оболочку операционной системы, злоумышленник может вставить вредоносный
код во входные данные, который может быть выполнен командной оболочкой.
Это может привести к тому, что злоумышленник получит несанкционированный доступ к системе или выполнит другие вредоносные действия.
Посмотрите это видео, чтобы получить подробное объяснение:
Успешная атака с внедрением команд может иметь широкий спектр последствий, в зависимости от системы и целей злоумышленника. Вот несколько возможных воздействий:
- Несанкционированный доступ: Злоумышленник может получить несанкционированный доступ к системе или приложению, предоставив им доступ к конфиденциальным данным или функциям.
- Кража данных: Злоумышленник может украсть данные из системы, включая личную информацию, финансовые данные или другие конфиденциальные данные.
- Установка вредоносного ПО: Злоумышленник может установить вредоносное ПО в систему, что позволит ему еще больше скомпрометировать систему или использовать ее в качестве отправной точки для других атак.
- Отказ в обслуживании: Злоумышленник может запустить атаку типа «отказ в обслуживании», выполнив команды, перегружающие системные ресурсы, или удалив важные системные файлы.
- Компрометация системы: В некоторых случаях успешная атака с внедрением команд может привести к полной компрометации системы, позволяя злоумышленнику получить полный контроль.
Некоторые меры, которые могут помочь предотвратить атаки с внедрением команд, перечислены ниже. Используйте регулярные выражения или фильтры ввода, чтобы удалить или закодировать любые специальные символы, которые могут использоваться для выполнения произвольных команд.
Используйте автоматизированные инструменты и ручное тестирование, чтобы выявить потенциальные проблемы и устранить их, прежде чем их можно будет использовать.Таксономии
- OWASP Top 10 — A03 Injection
- CWE-77: неправильная нейтрализация специальных элементов, используемых в команде («внедрение команды»)
- CWE-78: неправильная нейтрализация специальных элементов, используемых в ОС Команда («Внедрение команды ОС»)
Объяснение и предотвращение
- OWASP: внедрение команды
- OWASP: Command Invection Chiefte . 78
- Secure Code Warrior: внедрение команд ОС
Ruby предлагает несколько способов выполнения команд операционной системы, например:
-
exec(command) -
syscall(command) -
system(command) -
eval() -
constantize() -
render()
Option A: Replace the dangerous function with a безопасная альтернатива
Справочные материалы по конкретным решениям:
- Руководство по безопасности Rails – Внедрение командной строки
Просмотрите проблемы, которые GuardRails выявила в PR/MR
Найдите опасную функцию.
Например:# Одним из примеров является exec, но в Ruby существует множество других опасных функций.
exec("/path/to/cmd #{params[:input]}")
Если функционал не нужен, то удалите его
В противном случае замените опасную функцию на следующую:
# Ключевым моментом является то, что пользовательский ввод находится во второй части массива
#, который передается системной функции.
# Убедитесь, что пользовательский ввод не находится в первой части массива, который
# содержит саму команду.
system("/path/to/cmd","#{params[:input]}")
Протестируйте и убедитесь, что функциональность работает должным образом
Отправьте 🚢 и расслабьтесь 🌴 О внедрении кода
Внедрение кода — это уязвимость системы безопасности, которая возникает, когда приложение генерирует код динамически и неправильно проверять или дезинфицировать пользовательский ввод, прежде чем использовать его для генерации кода.
Основное различие между внедрением команды и внедрением кода заключается в следующем. что внедрение команд фокусируется на выполнении произвольных системных команд, в то время как внедрение кода фокусируется на внедрении и выполнении произвольного кода внутри программы или системы.
Внедрение кода ограничено функциональностью самого внедряемого языка.
Посмотрите это видео, чтобы получить подробное объяснение:
Успешная атака путем внедрения кода может иметь широкий спектр последствий, в зависимости от системы и целей злоумышленника. Вот несколько возможных воздействий:
- Несанкционированный доступ: Злоумышленник может получить несанкционированный доступ к системе или приложению, предоставив им доступ к конфиденциальным данным или функциям.
- Кража данных: Злоумышленник может украсть данные из системы, включая личную информацию, финансовые данные или другие конфиденциальные данные.
- Установка вредоносного ПО: Злоумышленник может установить вредоносное ПО в систему, что позволит ему еще больше скомпрометировать систему или использовать ее в качестве отправной точки для других атак.
- Отказ в обслуживании: Злоумышленник может запустить атаку отказа в обслуживании, выполнив код, который перегружает системные ресурсы.
- Компрометация системы: В некоторых случаях успешная атака путем внедрения кода может привести к полной компрометации системы.
Некоторые меры, которые могут помочь предотвратить атаки с внедрением кода:
- Проверка и очистка входных данных: Убедитесь, что вводимые пользователем данные проверены и очищены, прежде чем они будут использованы для создания кода.
- Проводите регулярные аудиты безопасности: Регулярно проверяйте свою систему и приложения на наличие уязвимостей безопасности, включая уязвимости внедрения кода. Используйте автоматизированные инструменты и ручное тестирование, чтобы выявить потенциальные проблемы и устранить их, прежде чем их можно будет использовать.
- Проинформируйте свою команду разработчиков: Проинформируйте свою команду разработчиков о рисках атак путем внедрения кода и о мерах, которые можно предпринять для их предотвращения.
Таксономии
- OWASP Top 10 — A03 Injection
- CWE-94: неправильный контроль генерации кода («внедрение кода»)
- CWE-95: неправильная нейтрализация директив в динамически оцениваемом коде («Eval Injection»)
3
3 Объяснение и предотвращение
- OWASP: внедрение кода
- OWASP: памятка по внедрению команд
- Комплексная информационная безопасность: внедрение команд – риски
- [Целостная информационная безопасность: внедрение команд – контрмеры]https://f1.holisticinfosecforweb0developers6. .html#web-applications-countermeasures-command-injection
- Подробности CVE: CWE-94
- Де Самый безопасный способ константизации
Просмотрите проблемы, выявленные GuardRails в PR/MR
Найдите метод
константизации. Уязвимый пример:class AlertsController < ApplicationController
def create
params[:alert][:type]. constantize.new(params[:alert][:value]) # <-- плохой код, не делайте этого!
# ... другие работы
# рендеринг страницы
end
end
Если функционал не требуется, то удалить его
В противном случае применить следующий шаблон:
# Какой-то файл, где константное определение Уместно.
ПРЕДУПРЕЖДЕНИЯ = {
'информация' => InfoAlert,
'warn' => WarnAlert,
'error' => ErrorAlert
}class AlertsController < ApplicationController
def create
ALERTS.fetch(params[:alert][:type])).new(params[:alert][ : значение]))# ... Другая работа
# render Page
END
END
Проверьте его и обеспечивает функциональность, как и ожидалось
. Вариант B: ограничить допустимый ввод до
Render()Список литературы:
- Динамический рендеринг: Выполнение удаленного кода-CVE 2016-0752
Пропустите проблемы, которые выявлены в PR/MR
Locate
.
Например:
constantize.new(params[:alert][:value]) # <-- плохой код, не делайте этого! 