2010
25
Feb
Cat de bine isi protejeaza magazinele online clientii?
Cum arata cateva dovezi din ultimele luni, nu prea bine. In februarie a cazut PCfun, acum eMAG.
PCfun la HackersBlog: |
eMAG la AlienHackers: |
Cateva lucruri ar trebui sa aiba totusi in vedere cei care se ocupa de asa ceva:
- nici un magazin din Romania nu stocheaza datele despre cartile de debit/credit pentru ca nu are de ce – procesarea platilor se face extern iar datele pot fi decat introduse de cumparator.
- continutul /etc/passwd nu foloseste la nimic de pe la sfarsitul anilor '80, incercati cu /etc/shadow
Pentru a preveni asemenea situatii, solutiile pentru magazine sunt la indemana:
- lasati deoparte mysql_multi_query()
- un mysql_real_escape_string() pus unde trebuie, se pare ca face cat o mie de screenshot-uri cu vulnerabilitati, sau, alternativ, prepared statements
- daca folositi functii wrapper pentru interogarea bazei de date, filtrati ce nu folositi din query-ul final (de ex. keyword-ul magic "union")
- hash-uri pentru parole sau criptarea lor
- daca folositi hash-uri, obligati utilizatorii sa foloseasca parole puternice – exista tabele rainbow
- tineti versiunile la zi, fie ele biblioteci sau programe de live support
scris de