TAKEIT.CZ není bezpečné ani funkční

Tagy

Včera oznámené spuštění www.takeit.cz (viz Spuštěna unikátní internetová služba TAKEIT.CZ) vyvolalo velmi různorodé reakce. Převážně se shodují v tom, že spouštět něco co není funkční, je zvláštní. A upozorňují, že na českém Internetu existují další podobné služby. Jinými slovy, o unikátnosti řešení se (dodal bych zatím), dá pochybovat. Ostatně, zde je několik reakcí:

Pokud mi taková služba při vyhledání konkrétního výrobku (SENCOR SPT 201) nabídne 1 (slovy JEDNU) položku a jiná služba www.srovnanicen.cz  18 (slovy OSMNÁCT), pak je to o ničem...

Naprosto zbytečná služba ...

Zlatý Jyxo - zboží. Najde toho hodně, ukáže fotky, .. Tahle "novinka" takeit je totálně na CENSORED

Očekávatelný výsledek, dalo by se říci. Internet Trading přivedl na svět beta verzi, ve které prozatím není to nejpodstatnější - produktové informace. Přitom právě na existenci rozsáhlé databáze produktových informací (pokud možno od většiny firem, které jsou v databázi) je právě TAKEIT založeno.

Když jsem se včera ptal na tiskové konferenci proč je spouštěna služba, která není dokončena, nebylo mi odpovězeno. Respektive bylo odpovězeno na jinou otázku. A protože jsem měl odvahu se zeptat znovu, bylo to odbyto tím, že je to "beta". Za moji snahu získat odpověď na otázku jsem byl navíc odměněn tím, že mi bylo zamezeno pokládat další otázky.

Připusťme, že Internet Trading potřebuje uvést na trh novou (nebo lépe řečeno rozšířenou) službu. Potřebuje o ní dát vědět klientům a vyvolat o ni zájem. Těžko se chápe, proč nemohli do počátku beta provozu naplnit databázi alespoň produkty alespoň od několika svých klientů.  Těžko se také chápe, proč je svolávána tisková konference, na které nepřipravení zástupci firmy prezentují nepřipravený produkt (nepřipravení natolik, že místo klikání na vyhledávací tlačítko dokonce klikali na "Zkusím štěstí" tlačítko na Google). Ještě hůře se ale chápe, proč byl veřejnosti předložen produkt, který není bezpečný.

TAKEIT.CZ není zabezpečený proti SQL Injection

SQL injection neboli podsouvání SQL kódu prostřednictvím vstupních formulářů nebo parametrů URI je velmi oblíbenou bezpečnostní chybou hackerů. V nejprimitivnější podobě umožní vstoupit do systému aniž by bylo nutné znát heslo - postačí do pole pro heslo vložit konstrukci odpovídající tomuto : ' or 1=1 (je nutné jí mírně upravit podle způsobu tvorby odpovídajícího SQL dotazu).

U TAKEIT.CZ jde přesně o tento problém. Pokud začnete testovat přihlašování do klientské části (klient.takeit.cz) dostane se vám dokonce přesné nápovědy, jak vlastně potřebujete onen řetězec určit:

Dotaz nebyl proveden SELECT client.id FROM client, firm WHERE firm.ic = 'X' AND client.firm_id = firm.id AND client.pass= '' or 1=1' - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 8

Pak už stačí jenom málo - stačí rozumět SQL. A navíc také budete již s jistotou vědět, že můžete podstrčit cokoliv dalšího. A pokud je SQL kód udělán stejně špatně jako klientské webové rozhraní, můžete například kompletně smazat databáze, které TAKEIT.CZ používá.

Stejně špatně je zpracováno ukládání formulářů uvnitř klientské části - do té se můžete zaregistrovat a hned začít vyplňovat (místo toho, aby bylo požadováno alespoň potvrzení registrace elektronickou poštou). A pokud si budete již naznačeným způsobem "hrát" s políčky formuláře, dostanete další a další nápovědy jak je zneužít. Například :

Dotaz nebyl proveden INSERT INTO firm_section (firm_id, section_id) VALUES ('210005','1') - Cannot add or update a child row: a foreign key constraint fails (`data/firm_section`, CONSTRAINT `firm_section_ibfk_1` FOREIGN KEY (`SECTION_ID`) REFERENCES `section` (`ID`))

Samozřejmě, proč by někdo mazal kompletní databáze v TAKEIT.CZ - existují daleko lepší způsoby jak SQL injection využít. Třeba ke změnám údajů o firmách. Vsunutí kódu, který bude využívat bezpečnostích chyb v prohlížečích či přesměrovávat návštěvníky na jiné stránky například. Případně, pokud není SQL část aplikace dostatečně zabezpečena, je možné vykonávat řadu dalších SQL příkazů - od již zmíněného výmazu dat až po odstavení serveru a řadu dalších, pro provozovatele velmi nepříjemných, činností.

TAKEIT.CZ a společnost Internet Trading byli na tuto bezpečnostní chybu upozorněni a požádáni o vyjádření.