Σα δεν ντρεπόμαστε και λίγο! Ε'

Μια από τις βασικές προδιαγραφές που τίθενται για ιδιαίτερα για site περιεχομένου δημοσίου ενδιαφέροντος είναι και η ΑΣΦΑΛΕΙΑ!

Φίλος του blog επισήμανε επ' αυτού κάτι που ομολογώ πως δεν είχα προσέξει και που ούτε στα νήπια των προγραμματιστών δεν συμβαίνει:

"Καλησπέρα Άνεμε,

διάβασα το τελευταιο σου post σχετικά με το απαράδεκτο
http://culture.thessaloniki.gr

και ψάχνοντάς το λίγο διαπίστωσα πως πέρα από το φτωχό υλικό και το
μέτριο δημιουργικό το site πάσχει και από ένα ακόμη -σοβαρότατο- πρόβλημα.

Αυτό του κώδικα και της ασφάλειας του περιεχόμενου του από επιθέσεις SQL
Injection (http://en.wikipedia.org/wiki/SQL_injection)

Κάτι φυσικά ασυγχώρητο για μία τόοοοσο προβεβλημένη και 'επαγγελματική'
δουλειά

Δοκιμάζοντας λιγάκι με το URL είδα το εξής

http://culture.thessaloniki.gr/gr/painting_details.asp?newsid=1%20or%20pinakes.titlos=%20%27text%27

αυτό τι σημαίνει ακριβώς;;

Ότι έμαθα πως ο πίνακας στη βάση τους με τους Πινακες Ζωγραφικής λέγεται
'pinakes' και πως έχει ένα πεδίο με τίτλο 'titlos'

έτσι, πάρα πολύ εύκολα, θα μπορούσα (πάντα μέσα από το URL) να σβήσω ή
να αλλοιώσω όλα τα περιεχόμενα του συγκεκριμένου πίνακα.

Όλη την παραπάνω -geeky- ανάλυση την κάνω για τον παρακάτω λόγο....
Τέτοια λάθη δεν κάνουν ούτε οι πρωτάρηδες web developers. Κάτι που απλά
σημαίνει οτι η εταιρία που το κατασκεύασε ή δεν έχει ιδέα απο απλό
προγραμματισμό ή -πιθανότατα- έδωσε τη δουλειά outsourcing σε κάποιο
πιτσιρικά από πανεπιστήμιο/κολλέγιο έναντι ευτελούς ποσού

Σου στέλνω email αντί για comment στο blog σου για προφανείς λόγους :-)

Φιλικά

... ..."





ΑΠΙΘΑΝΑ πράγματα δηλαδή!

Σχόλια

  1. Έτσι εξηγείται και γιατί δεν φαίνεται ο δημιουργός.

    ΑπάντησηΔιαγραφή
  2. Αλήθεια, γιατί δεν έκαναν ολόκληρο το site κρυφό; Σε έναν σκληρό δίσκο μόνο;

    ΑπάντησηΔιαγραφή
  3. Ο δημιουργός φαίνεται αλλά η σελίδα του είναι μόνο ένα intro και μια φόρμα επικοινωνίας,

    στο footer λέει powered by http://www.startrip.gr/.

    Θέλω να δω όταν το γκρεμίσουν το μαγαζί ποιον θα τρέχουν?

    Επίσης με ένα μικρό τεστ βρήκα ότι και το http://www.thessalonikicity.gr/
    έχει το ίδιο πρόβλημα.

    Μήπως έχουμε και ίδιο κατασκευαστή?

    ΑπάντησηΔιαγραφή

Δημοσίευση σχολίου