Не доверяйте выпускникам факультета комп. безопасности

Или это у нас так учат? 🙂
В описании одного из заказов внимательный читатель наверняка видел упоминание некоего Станислава Г., который делал сайт для клиента.
Так вот. Если к вам приходит работать выпускник факультета компьютерной безопасности, то это еще ничего не значит.

Доступ к личным доменам

Для начала, Станислав предоставил клиенту доступ к своей личной учетке у регистратора (что уже не очень нормально), где я насчитал аж 26 доменов. Правда, подавляющая часть протухла, но это не важно. Подавляющая часть подавляющей части имеет явно юридическую направленность (что-то типа каталогов юридических агентств).

Кстати, среди списка сайтов был еще и некий wkontakte, который отключился еще в 2014 году. Пожалуй, первая и единственная мысль, которая может возникнуть: наш Станислав увлекался рыбалкой. Фишингом. Попадает человек на wkontakte – адрес похож вроде, дизайн тот же. Вводит логин/пароль… а вечером из под аккаунта этого человека начинают просить в долг денег на киви-кошелек.

wkontakte

Интересно, в общем. Но не пойман – не вор.

Безопасность

Переходим к сайту клиента. Когда я начал работу, то просто открыл исходник в выдаче браузера и сразу же закрыл – адаптивностью там не пахло, а самым последним закрывающим тегом был не </html>, и даже не </body>, а просто </div>. Так сказать, на полуслове. Поэтому контент забирал не из кода, а просто копипастил из браузера.

После завершения всех работ решил посмотреть в код Станислава поглубже, благо был доступ к джиновскому FTP.
CMS там, как водится, не было – весь сайт сделан в виде

<?
include_once('../header.php');
?>
html-контент
<?
include_once('../footer.php');
?>

Я так делал лет 16 назад, когда учился писать на PHP. И уже хотел было закрыть редактор, как совершенно случайно тыкнул в news/index.php.
SQL-иньекция

Обратите внимание на строки в самом начале:
if(isset($_GET['id'])){
$id = $_GET['id'];
$news = mysql_query("SELECT * FROM `news` WHERE `id` = '$id'");

Для тех, кто не в курсе, поясню: это типичный пример уязвимости (SQL-инъекция), причем который учат избегать на первых же уроках по работе с базами данных. Благо, что особо ценной информации на сайте не было, и хакер-самоучка из 3 “Б” класса мог разве что написать пару матерных новостей, но тем не менее. И не было никаких eval-ов (выполнения) данных из MySQL, хотя с таким программистом я бы не удивился.

Тут место для морали на тему того, что каждый первый рукожоп идет лепить такие сайты, после чего отбивает клиентам желание вообще связываться с вебом, но… Вы же обратили внимание на первый абзац?

Выпускник

Вбиваю в гугл фамилию-имя нашего Станислава и выпадаю в осадок: данный персонаж, оказывается, еще и выпускник (тогда еще) СГУ, кафедра компьютерной безопасности. И будучи на последнем курсе по итогам какой-то конференции, посвященной компьютерной безопасности, даже стал ее победителем. Наверняка он теперь дипломированный специалист и защищает ваши данные.

Будьте бдительны при заказе услуг и при приеме таких кадров на работу. Повторюсь еще раз: диплом – это обычная купленная бумажка. А в таких случаях может и вовсе предоставлять угрозу для вашего бизнеса.

Фамилию Станислава Игоревича Г. я не публикую, однако IT-цех довольно тесный. И с удовольствием бы посмотрел на тех преподавателей, которые принимали у него экзамены.

О том, как хотя бы немного обезопаситься, я напишу следующих публикациях.

Опубликовано:19.06.2018

Отправить ответ

avatar
  Подписаться  
Уведомление о