United
- Yahoo! again - XSS in Uncategorized (357 Visits)
- Yahoo! again - bad settings? in Uncategorized (252 Visits)
- Fanii nostri in Uncategorized (183 Visits)
- Frustrant in Uncategorized (146 Visits)
- La multi ani România, la multi ani românilor in Uncategorized (137 Visits)
- Weblog.ro - Shell via Local File Inclusion in Uncategorized (119 Visits)
- Yahoo! epic fail - permanent xss unleashed in Uncategorized (50 Visits)
- ... in Uncategorized (38 Visits)
- XSS Ownage - hi5 vs. Yahoo! + video in Uncategorized (2 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in Uncategorized (2 Visits)
- Ce servicii de mail folositi? in (121 Visits)
- Azi este ziua userilor hackersblog.org in (120 Visits)
- De reţinut in (117 Visits)
- Inca o pierdere de timp in (107 Visits)
- De tinut minte in (106 Visits)
- Twitter in (78 Visits)
- Un nou membru in (74 Visits)
- Interviu la Radio Lynx in (70 Visits)
- 2009 in (51 Visits)
- Editori noi. in (35 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (199 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (139 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (104 Visits)
- B7ackAnge7z (1)
- Nicu Calcea (1)
- andrasi zsolt (1)
- Ovidiu U (1)
- Dumitru (1)
- Andrei Rinea (1)
Posted on October 23rd, 2009
Evomag.ro este un mic si simpatic magazin online ce vinde produse electronice. Nu e nimic deosebit in asta. Problema este cu totul alta. Este spart neincetat datorita vulnerabilitatilor de tip sql injection. Este greu de imaginat ca un magazin online atat de mic nu poate avea parte de o securitate mai de doamne ajuta. Adica, oare cat este de greu sa platesti pe cineva care sa se ocupe de sanitizarea scripturilor? Nu vorbim despre o companie uriasa cu sute de domenii si subdomenii, vorbim de ceva micut cu un site extrem de simplu. Cate fisiere poate contine cms-ul lor? 100? 200? 300? 1000? In 4 saptamani maxim ar fi trebuit sa rezolve definitiv problemele de securitate.
De ce vorbesc acum despre evomag? Pentru ca nu a fost spart o singura data, doar pe RST vazand postate vulnerabilitatile din respectivul shop de cateva ori, o data chiar fiind puse la dispozitia tuturor userul si parola de administrare.
Sa speram ca nu vom avansa in domeniul cumparaturilor online prea curand. Daca shop-urile noastre vor incepe sa stocheze datele de pe cartile de credit ale clientilor asa cum se procedeaza la scara larga in afara, vom fi foarte fucked up.
Ideea articolului provine de aici.
Un alt articol despre evomag: http://www.hackersblog.org/2008/11/26/evomagro-sql-injection-self-dos-path-disclosure-local-file-inclusion/
October 23rd, 2009 at 6:49 pm
Greseala este a noastra pentru ca nu am considerat ca acest lucru este asa important sau nu i-am acordat atentia cuvenita. Nu dorim sa lasam impresia de indiferenta sau lucruri facute de mantuiala. Se munceste mult si cu ocazia acestui lucru vom lua de data aceasta toate masurile pentru a nu mai aparea cu astfel de probleme. Multumim celor de pe rstcenter.com/forum pentru suport si informatii utile! Azi am rezolvat sper eu toate problemele de acesta natura. O seara placuta.
October 25th, 2009 at 4:26 am
[...] Evomag spart. Oare pentru a cata oara? [...]