Mali osvrt na bezbednost web aplikacija sa primerom Limundo.com

Pre neki dan, imao sam jednu interesantnu situaciju koja je ujedno i inspiracija za ovaj tekst.

Imam neku višak kompjutersku opremu u kancu, pa sam rešio da vidim mogu li ja to da prodam nekome.

Naravno, prva asocijacija na pitanje kako najlakše to da uradim je bila Limundo/Kupindo.

Brzim pogledom na alexa.com (bez želje da analiziram tačnost njihovih podataka) može se videti da je u trenutku pisanja ovog teksta, od svih sajtova u Srbiji Limundo.com na 21 mestu, dok je Kupindo.com rangiran kao 28 sajt.

U prevodu, sajt je prilično posećen i bio bih slobodan da kažem dosta ozbiljan za ove naše uslove ovde.

A kako i da ne bude takav. Pionir na ovim prostorima u svojoj branši. Pre nekoliko godina uspeo je da “otera” Allegro sa srpskog tržišta koji je bio (a mislim da je i sada) ozbiljan regionalan igrač u istoj branši.

Iako lično nisam puno koristio Limundo/Kupindo, član sam od 2007. godine i svojevremeno, kada mi je trebala jedna relativno egzotična (na ovim prostorima) WiFi kartica, našao sam je samo tamo i vrlo lako i brzo završio kupovinu. Pravi bingo u mom slučaju.

Imajući sve to u vidu a inspirisan idejom da prodam taj višak kompjuterske opreme koju imam, odem ja na Kupindo.com, odradim reset lozinke, jer sam naravno staru zaboravio, i pokušam da se ulogujem.

Na moje iznenađenje, osim što iz nekog razloga nisam mogao da se ulogujem, dobijem stranicu sa PHP greškama.

Greške, same po sebi, nisu mnogo interesantne. U pitanju su najvećim delom greške vezane za strict standard, ili ti E_STRICT grupa grešaka. Ono sto je meni interesantnije, ali i pomalo zabrinjavajuće,  je to što je na produkcijskom serveru uključen error reporting uopšte.

Da stvar bude jos malo interesantnija, osim tih E_STRICT grešaka, na kraju,  stoji i jedan warning a to znači da se ne prikazuju samo E_STRICT, već i E_WARNING greške.

To nam dalje govori da je apache na produkcijskom serveru jednog tako velikog sajta kao sto je Limundo, sa stanovišta bezbednosti podešen veoma labavo, bar po pitanju prikazivanja grešaka.

Neko može da kaže da je to obična paranoja i da to nije ništa strašno, kao što većina neikusnih programera XSS tretirao kao nešto bezopasno i potpuno bezazleno…ne razmišljajući o tome da iskusan napadač od “običnog” XSS-a osim što može da ukrade session ili cookies, u nekim situacijama može da dođe i do kompletnog Reverse PHP Shell-a…što je, verujem složićete se, više nego ozbiljan problem.

Tako i ovde. Iako prikaz poruka o greškama na produkcijskom serveru sam po sebi ne pravi nikakav problem, otkrivanje informacija koje se nalaze u tim porukama (kao što su na primer putanje do fajlova, imena klasa i slično) napadaču daju potencijalno korisne informacije do kojih bi u slučaju da je error reporting jednostavno isključen morao dobrano da se potrudi da dođe do njih.

Da rezimiram i budem potpuno jasan. Iako naslov ovog članka može da navede čitaoce da pomisle da Limundo.com nije bezbedan, to apsolutno nije tema ovog članka a ni moje lično mišljenje.

Naprotiv…iako sam vrlo površno prošao kroz sajt, pada u oči da Limundo koristi ssl sertifikat u jednom delu sajta, što sasvim sigurno pozitivno utiče na bezbednost.

Takođe, kada se desila situacija koju sam opisao, pustio sam jedan twit o tome:

@LimundoGradnja je primetila i reagovala vrlo brzo. Sve pohvale i za njih.

Ipak, čak i veliki sajtovi, kao što je sasvim sigurno i Limundo, mogu, a rekao bih i moraju, da posvete i dodatan napor po pitanju bezbednosti kako ne bi došli u situaciju da malom nepažnjom dođu u veliki problem.

Nego, rekoh li ja da imam neku kompjutersku opremu za prodaju?

Ako vam treba malo korišćeni računar i monitor, ili praktično nov kompjuterski sto, bacite pogled klikom ovde , možda vam bude interesantno 🙂

One thought on “Mali osvrt na bezbednost web aplikacija sa primerom Limundo.com”

Leave a Reply to Andjelka Limundo Cancel reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.