אני יודע מה יהיה האתר הבא שייפרץ

By | 7 ביולי 2008

לפעמים מופיעות ידיעות על אתר זה או אחר שנפרץ והושחת.

הלם ותדהמה? לא.

חדשות? נורא קצת.

בפעם האחרונה כתבתי על SQL Injection באוקטובר 2006 אבל כנראה שצריך להמשיך לכתוב כדי שאנשים ישימו לב.

שימו לב! אם האתר שלכם מתוכנת לא כמו שצריך, אפשר להשחית אותו, לשנות בו את התכנים רק על ידי כתיבת פקודות בדפדפן. אין צורך "לפרוץ אל השרת" בשום מובן מקובל של המילה.

העובדה ששילמתם המון כסף על האתר שלכם לא אומרת כלום.

לדוגמה, נכנסתי לאתר גדול מאד מהמגזר השלישי, שכבר פרצו אליו פעם, ובדקתי.

עדיין אפשר לפרוץ אליו.

בדקתי עוד אתר – אתר של ארגון "אח". גם אליו אפשר לפרוץ. (למבינים, באחד מהם אפילו שם ה DB היה חשוף – משהו כמו cellinfo_NV315473. חשיפת ה NV יכולה לאפשר דברים הרבה יותר רעים!)

בדקתי מי הקים להם את האתרים. חברה גדולה, מוכרת ומכובדת שאיתה "אי אפשר לפספס". ניגשתי לאתר שלהם ובדקתי אתרים אחרים שהם הקימו. גם הם מועדים לפריצה והשחתה. גם הם אתרים של מוסדות גדולים ומכובדים.

איך בדקתי ולמה נזכרתי שוב בעניין?

ראיתי איפה שהוא הפניה לתוכנה של HP בשם Scrawlr

אפשר להוריד אותה בחינם ולהתקין. אחר כך מכניסים כתובת אתר והתוכנה מבצעת על האתר בדיקה לקראת פריצה. תתפלאו מה שתגלו. חפשו בעיקר אתרים שיש בכתובת שלהם asp. אתרים בטכנולוגיית מיקרוסופט.

אז אולי בעוד שנה אזכר שוב ואכתוב שוב. אני מניח שעד אז יושחתו עוד אתרים ויופיעו עוד ידיעות לא חדשות בעיתונות המחשבים.

לקריאה נוספת על SQL Injection

4 thoughts on “אני יודע מה יהיה האתר הבא שייפרץ

  1. שלא לומר

    אפשר לשלב את הנסיון לחינוך נגד פריצות אתרים ביחד עם הנסיון לחינוך לתאימות לתקנים; הרי בסופו של דבר המתכנתים, שלא יודעים את עבודתם, הם אשמים.
    צריכה להיות דרך שבה לקוחות, גם ללא רקע בתכנות, יוכלו לדעת אם החברה הזו בונה את האתרים שלה כמו שצריך, ואם החברה ההיא בונה את האתרים שלה כמו שצריך.

    כמה רעינות:
    1. חברת/איש יעוץ חיצונית, שעוברת על אתרים (לא יותר מידי לעומק) לאחר בנייתם, כדי לוודא שהם בנויים כמו שצריך. (בעצם, אני לא בטוח עד כמה אנשים ישמחו לשלם עוד קצת כסף לחברה נוספת שתבדוק שהאתר בסדר אחרי שהם משלמים כסף לחברה שתבנה את האתר.)
    2. בלוג ביקורות אתרים; כותבי הבלוג יבדקו אתרים בזמנם החופשי ויקטלו אותם (מבחינה טכנית) בבלוג. המטרה היא שכל לקוח שרוצה לבדוק משהו על חברה, יכול ללכת לראות ביקורות שנכתבו בבלוג הזה על אתרים של החברה הזו. כל חברה תקבל ציונים על עמידה בתקנים, על פריצות, וכדומה.

    זהו.

  2. רואה שחורות

    יש בעיה של רמה מקצועית ירודה אצל חברות לפיתוח והקמת אתרי אינטרנט בישראל. לא כולם, כמובן, ויש הרבה אנשים מעולים. אבל מן הסתם העבודה אצלם יקרה יותר, ומנהלים חסרי מושג פשוט הולכים על הכי זול, כאילו הם קונים עגבניות בשוק.
    הדוגמאות שהבאת לא נדירות, ויש גם אתרים עם קבצי משתמשים חשופים (אפילו plaintext!), אתרים בלי SSL להעברת פרטים אישיים, שלא לדבר על אלה שלא מתקינים עדכוני אבטחה כבר שנים (כרגיל, בעיקר שרתי מיקרוסופט). המצב עגום והכל מוסתר, שחס וחלילה לא ידעו שפרצו לנו לאתר.

  3. Pingback: » ”אני לא מוכן לשלם למי שלא קורא בלוגים“ » וובסטר 4 - חנן כהן

  4. Pingback: יהונתן קלינגר | ההאקרים, למה הם עושים זאת בכלל? ‏ :: Intellect or Insanity‏

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *