E-shop Super QC trpí SQL Injection, XSS i CSRF

Provozujete e-shop na bázi Super QC? Pak nastražte uši. Trpí vážnými bezpečnostními chybami.

Zejména se jedná o možnost vsunutí kódu do databáze – SQL Injection. Díky ní mohou být ohrožena data o objednávkách, zákaznících a samozřejmě i samotné přístupové údaje do administrace. SQL Injection lze v závislosti na verzi a modifikaci aplikovat jak přes URL, tak POST požadavky a formuláře.

Druhým problémem je, že v podstatě všechny formuláře neobsahují ochranu proti Cross-site Request Forgery (CSRF nebo XSRF). Tím, že formuláře nekontrolují, odkud k nim přichází požadavky, s trochou sociálního inženýrství lze například zaslat majiteli eshopu email s tím, že na té a té stránce je fotka zničeného zboží, které prodal. Nic netušící majitel eshopu by stránku otevřel a script na pozadí by se přihlásil na jeho aktuální sezení do administrace a změnil mu např. mail užívaný k zaslání hesla. Útočník by si pak nechal zaslat heslo nové a získal tak přístup do správy obchodu.

A třetí významná chyba eshopu Super QC je Cross-site scripting (XSS) – tedy možnost vsunout skrze URL škodlivý kód. XSS je tak populární chyba, že je asi zbytečné se o ní nějak více rozepisovat. Aplikace sice jakými způsobem ošetřuje vkládání tagu <script>, kreativní útočník však může najít řadu jiných způsobů, jak oběti podstrčit svůj kód. V našem simulovaném útoku jsme například oběť poslali na falešný přihlašovací formulář, jehož cílem bylo získání přihlašovacích údajů.