Безопасность моего интернет-магазина

[tigranat]

Друзья, мне прислали вот такое письмо счастья. Прошу разъяснить, насколько это правда. Как обезопасить сайт?

 

Вообщем проводили мониторинг и обнаружили что ваш сайт вызывает подозрение.
Провели тестовую атаку, и сразу выявили слепую инъекцию. (blind sql injection).

Что это такое?
Это возможность выполнения произвольного кода на стороне сервера где расположен ваш сайт, а именно в базе данных.
Произвольный код выполняется путем внедрения в запрос (через входящие параметры), системных операторов и функция, которые влияют на запрос и результат.

Какие последствия могут быть?

Ну это не смертельно, если не считать того, что:

1) С помощью sql injection легко слить (скачать) вашу базу данных
2) С ее же помощью можно залить веб-шелл (код, набор цифр и букв, конвертированный в base 64, который при определенных условиях преобразуется в такие же PHP скрипты (на php собственно и написан ваш сайт)), так же с помощью которого можно вертеть вашим сайтом как только угодно.
3) С помощью веб-шелла залить эксплоиты и эксплуатировать ваш сайт как хочешь.
4) Эксплуатация в качестве рекламной площадки.
5) Эксплуатация в качестве площадки для рассылки email/спама.
6) Эксплуатация в качестве слива информации конкурентам.

Если вас интересует, то пишите, будем рады пообщаться, обсудить, разъяснить все по данной "дыре".

P.S. Не заказывайте сайты у непроверенных веб студий и не устанавливайте сами cms-ки, т.к. в большинство веб-студии набирают по объявлениям людей, которые даже не понимают что такое информационная безопасность. А в движках, присутствуют везде бек-доры (черные ходы). Тем более в скаченных самописных модулях.

Евгений, команда rsa-team.ru

[markimax]

Скорее всего развод

[AlexDW]

 

Вообщем проводили мониторинг и обнаружили что ваш сайт вызывает подозрение.

обожаю подобные письма!

жаль только что давно уже их не получаю..

то ли из-за отстрела спама, то ли из моих ответов в стиле "Вообщем идите на йух!!!" :-D