« Закриття сайтів через законодавство ЄС
Масовий взлом сайтів на сервері Cityhost »

Уразливість на plimus.com

16:11 30.05.2012

05.02.2012

У грудні, 01.12.2011, я знайшов Denial of Service уразливість на відомому сайті http://plimus.com. Про що найближчим часом сповіщу адміністрацію сайта.

Plimus - це популярна е-комерс система, що дозволяє продавати та купувати товари і послуги через свій сайт. І його власники заявляють про відповідність PCI DSS, при цьому маючи уразливості на сайті. Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua.

Детальна інформація про уразливість з’явиться пізніше.

30.05.2012

DoS:

https://secure.plimus.com/servlet/humanity.jpg?imageWidth=10000&imageHeight=10000

Використовуючи великі значення в параметрі imageWidth, imageHeight або в обох параметрах можна спожити всю пам’ять сервера. Про аналогічні DoS уразливості в багатьох веб додатках, в тому числі в Megapolis.Portal Manager, що використовується на багатьох українських державних сайтах та сайтах спецслужб, я вже писав раніше.

Дана уразливість досі не виправлена. Що несерйозно для відомого е-комерс сайта.


This entry was posted on 16:11 30.05.2012 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

2 відповідей на “Уразливість на plimus.com”

  1. arekusux каже:
    Вівторок, 04:52 07.02.2012

    Уязвимости типа “отказ в обслуживании” не считаются с точки зрения PCI критичными.

  2. MustLive каже:
    Субота, 23:48 11.02.2012

    Алексей

    Я так полагаю ты хорошо знаком со стандартом PCI DSS, поэтому уверено заявляешь о такой позиции PCI DSS (зная стандарт). И по логике вещей, когда DoS не приведёт к утечке информации платёжных карт, а “лишь” сайт станет недоступным, можно предположить такой подход, мол риска для информации нет.

    Но это только при таком “узком подходе”. А на деле как plimus.com, так и любому другому сайту, что с PCI DSS сертификатом, что без него, стоит обращать внимание и на DoS уязвимости.

    1. Критические уязвимости - это лишь один из уровней риска. К примеру, у меня в моей пяти-бальной шкале “критические” - это 5 уровень риска. Т.е. если DoS не критические, значит они меньше чем 5, но всё же имеют уровень риска (к примеру, я DoS уязвимостям обычно ставлю 3 или 4 уровень риска, но никогда не “критический”). А исправлять, в идеале, нужно уязвимости всех уровней риска.

    2. С точки зрения PCI DSS уязвимости типа “отказ в обслуживании” считаются за дыры? Если да, то и исправлять их нужно. Т.е. PCI DSS аудитор должен был обратить внимание клиента на все дыры подходящие под стандарт, включая DoS, а заказчик аудита должен был все эти дыры исправить - он должен был сделать все те исправления, минимально допустимые по стандарту для получения сертификата.

    3. Сайты с PCI DSS сертификатами, в том числе plimus.com, используют факт соответствия PCI DSS для того, чтобы заявить, что они полностью неуязвимые и исключительно безопасные (т.е. пиарятся на этом). Что не соответствует действительности если они имеют дыры, поэтому этим сайтам нужно исправлять все дыры.

Leave a Reply

You must be logged in to post a comment.