Skip to main content.
September 5th, 2007

Securitatea www.elvila.ro

Citeam la Orlando pe blog ca Elvila a platit 600000 euro pe noul lor site. Si am intrat din curiozitate sa vad cum arata, cum se mişcă, cum e făcut etc. Ce am văzut m-a oripilat:

  1. SQL injection
    elvila1.jpg
  2. More SQL injection
    elvila2.jpg
  3. Inclusiv amărâtul de search suferă de SQL injection
    elvila3.jpg

Evident bugurile sint de design de cod. Securitate zero absolut. Si in condiţiile astea nu vad de ce cineva ar avea curajul sa comande de la ei ceva online.

Cum mama dracului sa plătească cineva 600000 euro pentru o mizerie ca altfel nu pot sa-i spun , care poate fi data jos la orice ora de către un script kiddie de 8 ani ? Aloooooooo Elvila . Mă aude cineva ? ĂŢI ARUNCAT BANII PE FEREASTRAAAAAAA.

Citi programatori au lucrat la site? 5? Cit timp? 5 luni.

Recomandarea mea ar fi sa treacă site-ul offline a.s.a.p si sa treacă RAPID la un audit de cod. Este INADMISIBIL sa trimiţi parametrii într-un query sql fără nici un fel de verificare. Incă sint şocat de suma plătită. 600000 Euro ? Un site de 300E făcut de un căminist in 2 nopţi e mult mai secure ca ăsta.

*half joke* Elvila: vreţi sa va auditez/securez site-ul ? 60.000E va costa. Ca sa păstram proporţiile. */half joke*

Apropo… Pina si cart-ul are 0 securitate . Foarte drăguţ … sql inclusion pe INSERT si UPDATE . Asta ca sa facă treaba kinderilor mult mai uşoară…

elvila4.jpg

Bănuiesc ca si restul de cod e scris tot aşa.

Posted by cop in Security

6 Comments »

This entry was posted on Wednesday, September 5th, 2007 at 4:05 pm and is filed under Security. You can follow any responses to this entry through the comments RSS 2.0 feed. You can leave a response, or trackback from your own site.

6 Responses to “Securitatea www.elvila.ro”

  1. Florinel says:

    Cautarea la elvila:
    Link cautare
    Sau:
    ceva prin DOM

    September 6th, 2007 at 9:57 pm
  2. Florinel says:

    Sau ceva mai funny:
    ‘%3C/script%3E”>Elvila powered by Microsoft

    September 6th, 2007 at 10:05 pm
  3. Florinel says:

    se pare ca e o problema.
    Try this:
    document.body.innerHTML=’Powered by img src=http://i.microsoft.com/global/23628a9a-f0b6-4c73-9f3e-a883680095cb.gif’
    (img pus ca tag)

    September 6th, 2007 at 10:07 pm
  4. Web Security » Media Concept. says:

    [...] codului scris: – Site Banca Egnatia – SQL inclusion – Site elvila . Am detaliat subiectul aici. Nu are rost sa revenim. – Site generatoare. – SQL inclusion – site bubulici – SQL inclusion [...]

    September 7th, 2007 at 6:25 pm
  5. carcotasu.vesel says:

    Mare Sef de trib ce esti, lasa draqu aberatiile pe care le citesti pe la altii si pune mana si intreaba direct de la sursa cum sta cu site-ul elvilla. Tre sa fii cretin (ceea ce probabil ca nu esti) sa crezi ca site-ul ala de kkat a costat 600.000E. Cat priveste codarea pai ce draqu crezi ca toti sunt asa destepti ca tine!!!…

    September 24th, 2007 at 9:03 am
  6. cop says:

    Carcotasuvesel: Eu am luat ca sursa asta: http://www.dailybusiness.ro/elvila-deschide-un-front-nou-pe-piata-de-mobila-primul-magazin-online-de-mari-dimensiuni_article-5493.html
    Iar acolo scrie ca ar fi platit 600k euro. N-am facut decit sa preiau o sursa care este credibila ( cel putin dupa mine ). Oricum din punctul meu de vedere suma este foarte putin relevanta. Ce e relevant e codul. Puteau sa plateasca 10 mil Euro sau 5 euro. Daca codul arata cum arata tot o mizerie e.

    September 24th, 2007 at 12:12 pm

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>