Blog
2010 25 Feb

Cat de bine isi protejeaza magazinele online clientii?

Cum arata cateva dovezi din ultimele luni, nu prea bine. In februarie a cazut PCfun, acum eMAG.

PCfun la HackersBlog:

pcfun_users-300x217

eMAG la AlienHackers:

emag_users-300x187

Cateva lucruri ar trebui sa aiba totusi in vedere cei care se ocupa de asa ceva:

  • nici un magazin din Romania nu stocheaza datele despre cartile de debit/credit pentru ca nu are de ce – procesarea platilor se face extern iar datele pot fi decat introduse de cumparator.
  • continutul /etc/passwd nu foloseste la nimic de pe la sfarsitul anilor '80, incercati cu /etc/shadow

Pentru a preveni asemenea situatii, solutiile pentru magazine sunt la indemana:

  • lasati deoparte mysql_multi_query()
  • un mysql_real_escape_string() pus unde trebuie, se pare ca face cat o mie de screenshot-uri cu vulnerabilitati, sau, alternativ, prepared statements
  • daca folositi functii wrapper pentru interogarea bazei de date, filtrati ce nu folositi din query-ul final (de ex. keyword-ul magic "union")
  • hash-uri pentru parole sau criptarea lor
  • daca folositi hash-uri, obligati utilizatorii sa foloseasca parole puternice – exista tabele rainbow
  • tineti versiunile la zi, fie ele biblioteci sau programe de live support
scris de