Уразливість на plimus.com
16:11 30.05.201205.02.2012
У грудні, 01.12.2011, я знайшов Denial of Service уразливість на відомому сайті http://plimus.com. Про що найближчим часом сповіщу адміністрацію сайта.
Plimus - це популярна е-комерс система, що дозволяє продавати та купувати товари і послуги через свій сайт. І його власники заявляють про відповідність PCI DSS, при цьому маючи уразливості на сайті. Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua.
Детальна інформація про уразливість з’явиться пізніше.
30.05.2012
DoS:
https://secure.plimus.com/servlet/humanity.jpg?imageWidth=10000&imageHeight=10000
Використовуючи великі значення в параметрі imageWidth, imageHeight або в обох параметрах можна спожити всю пам’ять сервера. Про аналогічні DoS уразливості в багатьох веб додатках, в тому числі в Megapolis.Portal Manager, що використовується на багатьох українських державних сайтах та сайтах спецслужб, я вже писав раніше.
Дана уразливість досі не виправлена. Що несерйозно для відомого е-комерс сайта.
Вівторок, 04:52 07.02.2012
Уязвимости типа “отказ в обслуживании” не считаются с точки зрения PCI критичными.
Субота, 23:48 11.02.2012
Алексей
Я так полагаю ты хорошо знаком со стандартом PCI DSS, поэтому уверено заявляешь о такой позиции PCI DSS (зная стандарт). И по логике вещей, когда DoS не приведёт к утечке информации платёжных карт, а “лишь” сайт станет недоступным, можно предположить такой подход, мол риска для информации нет.
Но это только при таком “узком подходе”. А на деле как plimus.com, так и любому другому сайту, что с PCI DSS сертификатом, что без него, стоит обращать внимание и на DoS уязвимости.
1. Критические уязвимости - это лишь один из уровней риска. К примеру, у меня в моей пяти-бальной шкале “критические” - это 5 уровень риска. Т.е. если DoS не критические, значит они меньше чем 5, но всё же имеют уровень риска (к примеру, я DoS уязвимостям обычно ставлю 3 или 4 уровень риска, но никогда не “критический”). А исправлять, в идеале, нужно уязвимости всех уровней риска.
2. С точки зрения PCI DSS уязвимости типа “отказ в обслуживании” считаются за дыры? Если да, то и исправлять их нужно. Т.е. PCI DSS аудитор должен был обратить внимание клиента на все дыры подходящие под стандарт, включая DoS, а заказчик аудита должен был все эти дыры исправить - он должен был сделать все те исправления, минимально допустимые по стандарту для получения сертификата.
3. Сайты с PCI DSS сертификатами, в том числе plimus.com, используют факт соответствия PCI DSS для того, чтобы заявить, что они полностью неуязвимые и исключительно безопасные (т.е. пиарятся на этом). Что не соответствует действительности если они имеют дыры, поэтому этим сайтам нужно исправлять все дыры.