Недавно на books.ru оставлял комментарий на какую-то книгу и случайно обратил внимание на каптчу (Captcha). В глаза бросилось то, что она нарисована в виде банального текста. Я сначала протер глаза и очки, в надежде, что мне это кажется. Кликаю дважды по каптче, а она выделяется как банальный текст. Я снова не верю глазам и лезу в исходник страницы. Не может быть!!! Captcha действительно лежит в открытом виде и передается от формы к сценарию банальным параметром.
Для чего это делали? Хакеры могут без проблем взломать каптчу и написать программу, которая будет программно загружать страницу, анализировать в поисках секретного кода и передавать его серверу. Так как это легко реализовать программно, то можно без проблем организовать флуд на сервер.
Единственное, от чего спасает такая каптча - от ручного флуда. Пользователь не сможет ручками флудить банальным обновлением страницы. Нужно каждый раз вводить код. Зато любой хакер, который может написать программу, сможет зафлудить сервер по самую крыжечку.
На books.ru я находил уже много ошибок. О некоторых я писал администрации, а о некоторых даже писал в журнале Хакер. Я года четыре назад в Хакере описывал методы накрутки голосования и рассказывал на примере books.ru и эта дыра не закрыта.
Сайт страдал XSS ошибкой, благодаря которой можно спионерить Cookie, а это уже страшнее. Об этой дыре я нигде не писал, кроме как администрации, но она все еще существует. Тут я имею ввиду ошибку. XSS дыра все еще присутствует на сайте, а вот на счет администрации - не уверен :), потому что мне не отвечали, а исправлять похоже ничего не собираются. Ну да ладно, мое дело маленькое - сообщить. Специально сформированный URL позволит хакеру украсть данные и я удивлен, что до сих пор еще не было атаки.
Месяц назад сайт искал себе начальника ИТ и вроде бы зарплату предлагают неплохую. Я отсылал резюме, но мне они даже не ответили :(, и теперь, когда я уже нашел работу и не нуждаюсь в новой я могу это сказать. На сайте магазина достаточно ошибок, и не только безопасности, он и с точки зрения SEO. По многим запросам сайт в полной ж..., хотя и старый и на него ссылок в интернете немеренно. Если посмотреть по Google Rank, то там кажется 8-ка. Мне об этом только мечтать, но мои рецензии очень часто в поисковых системах ценятся выше, чем ссылки на эти же книги в Books.ru.
Если кто-то из books.ru читает это сообщение, можете обратиться ко мне, я помогу исправить некоторые откровенные косяки. Могу помочь и бесплатно.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Михаил, а ты сейчас где работаешь?
Так сообщения модераторы проверяют =) ИМХО но флудить нет смысла.
Кстати на счет ломания капчи.
Вот вам и пожалуйста - вроде, такой серьезный магазин, а такие огромные дыры... удивляюсь даже не тому, что они до сих пор не залатаны, а тому, что они вообще были допущены на таком серьезном проекте.
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
