- Apocalipsa dupa Nemessis
- Cand dorinta de afirmare depaseste granitele bunului simt – PaxNwo un leecher ordinar
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac?
- Experiment social II – andimoisescu.ro
- Pentru posteritate
- In curand…
- “Hot” de id-uri messenger
- Chiar ca sunteti retardati
- Ce nu se invata la scoala – Vendetta (6)
- Apocalipsa dupa Nemessis in (81 Visits)
- Ce servicii de mail folositi? in (28 Visits)
- This is the end in (23 Visits)
- Hackersblog.org is now blog.rstcenter.com in (17 Visits)
- Short news in (16 Visits)
- La multi ani România, la multi ani românilor in (15 Visits)
- Inca o pierdere de timp in (11 Visits)
- Azi este ziua userilor hackersblog.org in (10 Visits)
- Raportare vulnerabilitati in (9 Visits)
- Contact si vulns report in (7 Visits)
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac? in (229 Visits)
- Hi5.com coders read this in (28 Visits)
- SMS scam (1) in (21 Visits)
- Phishing Bancpost in (8 Visits)
- Dezinformare sau proasta informare? in (7 Visits)
- Si tentativele de phishing pot fi amuzante in (5 Visits)
- Phishing Raiffeisen cu atasament html in (4 Visits)
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta in (76 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (41 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (30 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (29 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (25 Visits)
- Virusi in clipuri video [how to] in (23 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (21 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (17 Visits)
- Yahoo! redirects - a big issue (with video) in (10 Visits)
- Ca musca in... in (9 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (123 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (72 Visits)
- Yahoo! epic fail - permanent xss unleashed in (71 Visits)
- Telegraph.co.uk hacked, sql injection in (53 Visits)
- RedTube.com ... The Free Sex Video Community in (43 Visits)
- Kaspersky Thailand hacked by TinKode in (37 Visits)
- Conquiztador Hacked Again in (33 Visits)
- Telegraph.co.uk hacked - when will they learn? in (29 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (27 Visits)
- In atentia BitDefender.com, SQL Injection in (26 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (24 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (20 Visits)
- Digital Photocopiers Loaded With Secrets in (15 Visits)
- Hacker Uses XSS and Google Street View Data to Determine Physical Location in (12 Visits)
- OWASP Phishing demo in (7 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (7 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (6 Visits)
- Christopher "moot" Poole: The case for anonymity online in (6 Visits)
- Owasp5005 Part1 - New zero-day browser exploits - ClickJacking in (5 Visits)
- [Video] The History Of Hacking in (5 Visits)
- Se poate sparge parola de Yahoo? in (259 Visits)
- phpBB.ro hacked in (82 Visits)
- Cand dorinta de afirmare depaseste granitele bunului simt - PaxNwo un leecher ordinar in (47 Visits)
- Experiment social in (46 Visits)
- "Hot" de id-uri messenger in (39 Visits)
- Oare cum e pana la urma? in (39 Visits)
- Experiment social II - andimoisescu.ro in (37 Visits)
- Ce nu se invata la scoala – Vendetta (6) in (37 Visits)
- Concurs fara premii in (36 Visits)
- Forumul Andreei Balan spart in (33 Visits)
Posted on October 23rd, 2009
Evomag.ro este un mic si simpatic magazin online ce vinde produse electronice. Nu e nimic deosebit in asta. Problema este cu totul alta. Este spart neincetat datorita vulnerabilitatilor de tip sql injection. Este greu de imaginat ca un magazin online atat de mic nu poate avea parte de o securitate mai de doamne ajuta. Adica, oare cat este de greu sa platesti pe cineva care sa se ocupe de sanitizarea scripturilor? Nu vorbim despre o companie uriasa cu sute de domenii si subdomenii, vorbim de ceva micut cu un site extrem de simplu. Cate fisiere poate contine cms-ul lor? 100? 200? 300? 1000? In 4 saptamani maxim ar fi trebuit sa rezolve definitiv problemele de securitate.
De ce vorbesc acum despre evomag? Pentru ca nu a fost spart o singura data, doar pe RST vazand postate vulnerabilitatile din respectivul shop de cateva ori, o data chiar fiind puse la dispozitia tuturor userul si parola de administrare.
Sa speram ca nu vom avansa in domeniul cumparaturilor online prea curand. Daca shop-urile noastre vor incepe sa stocheze datele de pe cartile de credit ale clientilor asa cum se procedeaza la scara larga in afara, vom fi foarte fucked up.
Ideea articolului provine de aici.
Un alt articol despre evomag: http://blog.rstcenter.com/2008/11/26/evomagro-sql-injection-self-dos-path-disclosure-local-file-inclusion/
October 23rd, 2009 at 6:49 pm
Greseala este a noastra pentru ca nu am considerat ca acest lucru este asa important sau nu i-am acordat atentia cuvenita. Nu dorim sa lasam impresia de indiferenta sau lucruri facute de mantuiala. Se munceste mult si cu ocazia acestui lucru vom lua de data aceasta toate masurile pentru a nu mai aparea cu astfel de probleme. Multumim celor de pe rstcenter.com/forum pentru suport si informatii utile! Azi am rezolvat sper eu toate problemele de acesta natura. O seara placuta.
October 25th, 2009 at 4:26 am
[...] Evomag spart. Oare pentru a cata oara? [...]
October 7th, 2010 at 2:44 pm
datele clientilor sigur nu sunt importante magazine de trei lei
October 15th, 2010 at 1:40 pm
@iScReAm: Te rog sa detaliezi. Nu inteleg punctul tau de vedere! Multumesc.
October 30th, 2010 at 12:00 am
ce e de detaliat? un magazin mic cu pretentii de nimic.sigur nu rezista la o alta… “cautare”
October 31st, 2010 at 7:32 pm
@iScReAm, iar un comentariu rautacios si gratuit. Nu inteleg de ce il faci. Daca poti recomanda ceva, fa-0, daca nu, abtine-te. Recomandarea noastra. Remarci rautacioase si gratuite sunt usor de facut dar din pacate nu aduc nici un beneficiu nimanui. Arunci cam usor vorbe in vant!
June 23rd, 2011 at 11:48 pm
vrei sa ma inveti sa zic cum vrei tu? din pacate petru tine nu mai traim in comunism. vrei sa educi oamenii sa faca cum vrei tu? ai auzit de “those who can’t.. teach? can you mini emag