Svetainių spragos
Kadangi Lietuvoje svetainės kuriamos be išskirtinio dėmesio į jų duomenų saugumą pradėjome kurti keletas paprastų funkcijų galėsiančių minimaliai apsaugoti Jūsų svetaines nuo galimų įsilaužimų.
Taip pat vystome idėją centralizuoti blokuotinų IP adresų duomenų bazę taip užkertant kelią automatizuotoms WEB-Trojanų sistemoms įsilaužti į Jūsų svetaines.
Pateikiame sąrašą TVS/svetainių ir jų saugumo lygį
Informacija pateikta remiantis asmeniniu patyrimu, asmeniniais testais ar testais atliktais bendromis jėgomis kartu su nepriklausomais programišiais. Tai jokiais būdais nereiškia, kad ši informacija yra tiksli ir kad ji pateikta remiantis rimtais faktais. Taip pat ši informacija yra skirta tik švietėjiškais tikslais. Mes jokiu būdu nešmeižiam, neprovokuojam, nekritikuojam ar kitaip nesiekiam padaryti žalos, kuri vienaip ar kitaip gali turėti įtakos sakičiusiems šį straipsnį asmenims.
| Svetainė arba TVS (CMS) | Pažeidžiamumo lygis | Spragos tipas | Įrodymas 1) |
|---|---|---|---|
| http://www.ituostas.lt UAB „IT uostas” jauna ir veržli, bet patyrusi komanda siekianti tapti lyderiais Vakarų Lietuvoje informacinių technologijų sektoriuje. | KRITINIS | Galimas SQL injection | SQ: Injection |
| | | | |
| http://parduoda-perka.lt | ŽEMAS | XSS | http://tinyurl.com/mhpza3 |
| http://www.olialia.lt | KRITINIS | Nes naudoja OpenX banerių administravimo sistemą kuri nėra saugi | SQL Injection |
| http://www.kamerinisteatras.lt | KRITINIS | Neapsaugota failu administravimo sistema | |
| http://www.elektrosdarbai.lt | KRITINIS | Neapsaugota failu administravimo sistema | |
| http://www.genys.lt | KRITINIS | Neapsaugota failu administravimo sistema | |
| http://blog.itema.lt | KRITINIS | Neapsaugota failu administravimo sistema | |
| http://www.kalevatravel.lt | KRITINIS | Neapsaugota failu administravimo sistema | |
| http://www.bgservices.lt | KRITINIS | Neapsaugota failu administravimo sistema | |
| http://www.miskonys.lt | KRITINIS | Neapsaugota failu administravimo sistema | |
| | | | |
| | | | |
| Bitrix | Žemas | COOCKIES | |
| http://www.lrt.lt | Žemas | XSS | XSS |
| IceFM.lt - radijas internetu | KRITINIS | XSS, galima prisijungti kitu vartotoju. Vartotojui leidžiama įvesti bei inicijuoti javascript komandas | Sausainių vagystė |
| www.spindulys.visiems.lt | KRITINIS | Neapsaugotas administravimas slaptažodžiais | http://tinyurl.com/3axzmm |
| www.vilniusticket.lt | Žemas | XSS, netikrinama įvedama informacija. | |
| | | | |
| regitra.lt Valstybės įmonė REGITRA | KRITINIS | Netikrina ką „includina“. XSS netikrina įvestos informacijos | Include |
| http://www.ratlankiai.lt Monza ratlankių centras | KRITINIS | SQL_injection | http://tinyurl.com/6pbd63 |
| http://www.zulanas.lt | KRITINIS | SQL_injection | http://tinyurl.com/5a85y3 |
| http://seba.local.lt/ „Astron Building Systems“ atstovas Lietuvoje | KRITINIS | INCLUDE - dėl to, kad naudoja „mambo CMS“ | http://tinyurl.com/5wsfez |
| | | | |
| http://www.surask.lt | Žemas | XSS | XSS |
| http://www.ebaldai.lt | Žemas | XSS | XSS |
| http://www.library.lt | Žemas | XSS | XSS |
| http://www.labt.lt | KRITINIS | Include spraga | Include |
| | | | |
| | | | |
Discussion