|
|
 | Valus website er hacket. Dårlig programmer~
Fra : Povl H. Pedersen |
Dato : 23-05-02 22:31 |
|
Computerworld skriver at Valus er blevet hacket.
Websitet er en stor designfejl, kodet af uerfarne programmører.
De to fejl der er nævnt i diskussionen er:
Ingen databeskyttelse af oplysninger i databasen (man kunne rette
ordrenummer i URL'en for at se andres ordrer)
Ingen fornuftig inputvalidering fra web. Resultatet er, at
brugere kan injecte vilkårlig SQL, og f.eks. slette master databasen
eller quitte SQL serveren.
P.t. er deres hjemmeside ændret til en statisk side, og alt det
dynamisk er taget af.
Det er utroligt at en virksomhed der vil levere sikre løsninger
til pengetransaktioner ikke enten ansætter erfarne folk, eller en
konsulent til at lave security audit på koden eller løsningen.
Deres problemer her ville blive fanget af enhver på script kiddie
niveau og opefter.
--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows
| |
 Benny Hansen (23-05-2002)
| Kommentar
Fra : Benny Hansen |
Dato : 23-05-02 23:09 |
|
Det er utroligt at en virksomhed der vil levere sikre løsninger
til pengetransaktioner ikke enten ansætter erfarne folk, eller en
konsulent til at lave security audit på koden eller løsningen.
Enig
/Benny
| |
Andreas Plesner Jaco~ (24-05-2002)
| Kommentar
Fra : Andreas Plesner Jaco~ |
Dato : 24-05-02 07:07 |
|
In article <slrnaeqnsu.o2h.nospam@home.terminal.dk>, Povl H. Pedersen wrote:
>
> Det er utroligt at en virksomhed der vil levere sikre løsninger
> til pengetransaktioner ikke enten ansætter erfarne folk, eller en
> konsulent
Du skal godt nok lede længe for at finde konsulenter med et clue.
--
Andreas Plesner Jacobsen | Lookie, lookie, here comes cookie...
| -- Stephen Sondheim
| |
|
|