Hver anden danske webshop har alvorlige sikkerhedsfejl

Det er nogle noget vidtgående konklusioner der bliver draget her:

”(..) ’men for en hacker er det nemt at trække brugernavne og passwords ud’ forklarer han.”
- det kræver så at passwords gemmes i klar tekst, frem for en hash.

” ’Ja, de kan udnyttes i praksis. Man kan for eksempel sende en e-mail til administrator for siden med et link, der udnytter sårbarheden. Hvis man beder ham om at rette en stavefejl på en af siderne, så ved man, han er logget ind, og klikker han så på linket, kan man få hans session-cookie og agere som ham’ siger Anders Skovsgaard. ”
- igen er der gjort nogle antagelser om hvordan tingene er indrettet, og for hvordan administratoren reagerer.

Anders Skovsgaard skal jo leve af det her, og man må sige at han får fin, gratis reklame, uden at man journalistisk forholder sig til indholdet. Jeg er ikke journalist, men er det ikke en grundlæggende journalistisk disciplin at inddrage flere kilder, og helst nogen uden direkte økonomisk interesse?

Man skulle næsten tro at sikkerhedsapostlene havde hacket sig ind i de danske mediers CMS systemer, så de selv kan plante historierne.

Selvom det måske kun er et passhash du trækker ud, er det da alligevel ikke særligt heldigt, da mange sider blot gemmer disse passhashs i cookies og derved er man logget ind.

Eller som da newz.dk blev hacket, hvor kodeordene ikke var hashet ordentligt, og de blev dekrypteret (eller hvad det nu hedder når det er hashs) [1]

[1] http://www.version2.dk/artikel/5710-endnu-et-hack-5000-danske-brugernavn...

Og syntes da heller ikke Anders Skovsgaard siger noget om det er generelt man kan udnytte det sådan, men kommer med eksempler på udnyttelse.

Så syntes da det er godt der kommer fokus på problemet.

Hej Henrik.

Tak for din kommentar. Der er desværre begrænset spalteplads, så både journalisten og jeg er nødt til at begrænse os med forklaringerne.

Mht. SQL Injection er det korrekt at password's ofte hashes. Dog ses det ofte at man f.eks. kan anmode om nulstilling af password - Wordpress har f.eks. denne feature. Derefter kan "user_activation_key" udtrækkes og dermed kan en angriber nulstille adgangskoden og logge ind. Husk også at information som ordrer, nyhedsbrevsabonnenter, kunder m.m. kan udtrækkes.

Mht. Session-cookies er det korrekt at det ikke altid er muligt at udtrække eller benytte disse. Dog kan andre alvorlige angreb udføres i stedet, hvor al administrator-indhold videresendes til en angriber (f.eks. kundelister) eller request's foretages ind i administratorens session.

Som jeg tolker denne artikel, så har Hackavoid scannet 1133 webbutikker uden at indhente tilladelse fra de enkelte webbutikker - er dette korrekt?

Hej Kenni.

Det er korrekt. Det er dog harmløse requests der bliver udført mon web-shoppen og der udtrækkes aldrig data fra databaser.

Google gennemgår f.eks. dagligt hjemmesider for nogle af de samme ting - f.eks. om der er malware på siden eller om CMS'et er up-to-date.
Vi laver dog nogle flere requests hvor URL'en ændres en smule for at undersøge om der f.eks. er SQL Injection eller XSS - igen uden at udtrække eller ændre noget på siderne.

Vi offentliggør naturligvis ikke nogen af de web-shops vi har gennemgået.

Ærgeligt at det er nødvendigt, men jeg kan godt se hvorfor.

Jeg har haft flere af mine sider hacket. I nogle tilfælde har det bare været en afmaskering - fordi der sidder en eller anden idiot der ude, som synes det kunne være sjovt. Men jeg har også oplevet det på min webshop, hvor der blev lagt spyware ind, og her nåede Google at straffe min side, som om det var et usikkert sted på nettet at gå ind.

det er da den dårligste forklaring jeg nognensinde har hørt! der er da alt den plads du kunne drømme om her på siden! jeg tror jeg går igang med at lede efter sikkerhedshuller hos version2 og hackavid nu! det må man jo gerne!!!

Hej Peter.

Så først dit indlæg nu. Måske du misforstod mit svar til Henrik. Naturligvis er der masser af plads her i debatten. Det jeg hentydede til i svaret er at man i artiklen er nødt til at skære forklaringerne et sted. Netop derfor uddyber jeg meget gerne her på siden og svarer gerne på spørgsmål.

Det er nu ikke nogen nyhed at nettet er fyldt med huller, heller ej at det generelt er utroligt svært at fortælle ejeren af et sikkerhedshul om problemet uden at blive gjort til ondsindet blackhat hacker i gang med pengeafpresning eller det der er værre.

@Anders Skovsgaard, du tjekkede vel ikke for klassikeren, webformen hvor man selv kan bestemme prisen?

Ingen grund til at lede længe, V2 har haft og kendt til deres CSRF hul i årevis. Husk at spille fair og sætte evil til 1 så de har en chance.

@Anders Skovsgaard, du tjekkede vel ikke for klassikeren, webformen hvor man selv kan bestemme prisen?

For at teste denne type sårbarhed er man ofte nødt til at registrere en ordre i web-shoppen. Vi lavede denne undersøgelse med et mindst muligt fodaftryk i loggen. Derfor blev der ikke gjort noget for aktivt at afslutte et bestillingsforløb.
Men det er bestemt en sårbarhed vi har fokus på. Rigtig mange får f.eks. ikke implementeret checksums når der stilles videre til betalingsmodulet - hvormed valuta, beløb m.m. kan ændres.