ΑρχικήsecurityΑποκλειστικό: PenTesting - Site υψηλής επισκεψιμότητας με ευπάθειες

Αποκλειστικό: PenTesting – Site υψηλής επισκεψιμότητας με ευπάθειες

Στις 18/09/2014 είχαμε αποκαλύψει μετά από ένα PenTesting (τεστ διείσδυσης) ότι μία Ελληνική ιστοσελίδα υψηλής επισκεψιμότητας είχε πάρα πολλές ευπάθειες στον κώδικα της. Το άρθρο ανέφερε:

Το ————.gr είναι μία πρωτοπόρα ιδέα που υλοποιήθηκε επιτυχώς και θα ζήλευε ο καθένας. Πέρα όμως από το marketing για ένα site που θέλει να σέβεται τον εαυτό του, τους πελάτες του κτλ είναι η ασφάλεια που ως συνήθως δεν δίνεται η απαραίτητη σημασία, μιας και ενδιαφέρει περισσότερο η λειτουργικότητα.

Σήμερα, μπορούμε να δημοσιεύσουμε τις ευπάθειες που ανακαλύψαμε, καθώς και το όνομα της ιστοσελίδας, αφού οι διαχειριστές της ανταποκρίθηκαν άμεσα μετά την επικοινωνία που είχαμε μαζί τους.

Ας δούμε όμως τα κενά ασφαλείας:

PenTesting e-food

Τι αναφέρει η ιστοσελίδα

sec-e-food PenTesting

PenTesting attacks

Οι developers νόμιζαν ότι επειδή χρησιμοποιούσαν HTTPS θα τους σώσει από τις παραπάνω επιθέσεις. Χωρίς υπερβολές κάποιος κακοπροαίρετος θα τους είχε εξαφανίσει το site και θα είχε αμαυρώσει το όνομα τους.

Ας τις δούμε όμως μία μία.

XSS – HTMLinjection

PenTesting xss

SQL Inject bad char

PenTesting sql

Path Traversal

pathErrors page

errorRedirection – Phishing Attack

redirecte-food.gr/blog

blog

game over

Όπως προαναφέραμε, μετά την ανακάλυψη των ευπαθειών, το iGuRu.gr επικοινώνησε με την ομάδα διαχείρισης του e-food.gr. Αποστείλαμε την παρουσίαση με τις ευπάθειες και το τεχνικό τμήμα της εταιρείας έπιασε δουλειά. Αξίζει ένα μπράβο στα παιδιά της τεχνικής υποστήριξης του site, για την ευαισθητοποίηση τους σε θέματα ασφαλείας, καθώς και για την άμεση ανταπόκριση τους. Απέδειξαν ότι η ασφάλεια των πελατών τους είναι υψηλή τους προτεραιότητα, επιδιορθώνοντας με υψηλή συναίσθηση ευθύνης, άμεσα την κάθε ευπάθεια που περιγράφουμε παραπάνω.

Το iGuRu.gr, τις επόμενες μέρες θα αποκαλύψει άλλη μια ιστοσελίδα, διαδικτυακών αγορών με αρκετές ευπάθειες, που θέτουν σε κίνδυνο αρκετούς Έλληνες που πραγματοποιούν αγορές από το διαδίκτυο. Μείνετε συντονισμένοι.

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS