Magazinosaurus Rex
Ce este Magazinosaurus Rex, în afară de un naming care stârneşte râsul când este citit? Vă spun eu: eu soft care stârneşte şi mai tare râsul când e utilizat. Şi nu, nu e făcut de Media Concept, ci de o firmă numită KSD. Am citit acest post, în care autorul îşi lăuda de zor creaţia şi m-am gândit că n-ar strica să mă uit şi eu la giuvaierul tehnologic. Şi m-am îngrozit la ce-am văzut!
Securitatea Magazinosaurus REX…
…e inexistentă! Cu un “textbook example” de SQL Injection am reuşit să intru în interfaţa de administrare a magazinului. A durat cam 15 minute. Uitaţi poze:
Din respect pentru cei care au plătit pentru magazinele în cauză, nu voi face public exploit-ul, dar vă spun că e ceva elementar. SQL Injection continuă şi în alte secţiuni ale magazinului virtual. În căutare de exemplu. Alt exemplu e disponibil aici. Măcar sunt consecvenţi şi au standarde clare. Toate site-urile se buşesc în acelaşi fel.
XSS-ul iar e ceva la ordinea zilei pe site-urile realizate cu Magazinosaurus Rex. Exemplu!
Alte bug-uri la Magazinosaurus Rex
Aţi auzit de phishing? Platforma Magazinozaurus Rex vine cu un sistem care uşurează furtul de informaţii sensibile. De exemplu, poţi trimite spam direct prin intermediul scripturilor de pe site-ul lor. Accesaţi de exemplu URL-ul ăsta şi veţi înţelege ce vreau să spun. Evident că procesul poate fi automatizat (cURL is your friend), şi tot ce-ţi trebuie ca să trimiţi mailuri din partea clienţilor KSV e o listă cu domeniile acestora.
Şi concluzia
Magazinozaurus Rex este o porcărie sinistră, dezvoltată pe genunchi de nişte programatori de duminică. De aici şi vine şi preţul foarte scăzut. Lucrurile de proastă calitate în general sunt ieftine. Dar dacă investiţi într-un magazin virtual, mai scoateţi 2-3 mii de euro din buzunar şi investiţi într-un soft ca lumea. Până la urmă, asta e partea cea mai importantă a afacerii. Apelaţi la o firmă cunoscută, cu experienţă în domeniu, că altfel, mai devreme sau mai târziu, tot veţi pierde bani.
Şi veţi ajunge exemple negative pe bloguri 
ce BOOTI
Puteai măcar să faci o comandă de alifie de la magazinul cu produse naturiste pentru durerile de cap pe care i le-ai provocat lui Lucian… (din partea casei)
Nu cred ca problema este aparitia pe bloguri, la urma urmei totul e ca problemele sa se rezolve. Problema e cu saracii clienti care-s acuma cu chilotii in vine…
Hola Tudor,
Pe blog la mine ai un raspuns (click pe numele meu). Nu vreau sa raspund aici fiindca incarcam inutil spatiul. Cred totusi ca nu dai dovada de prea mult fair-play publicand niste ecrane in clar cu informatii accesate asa cum zici pe blog. Era suficient sa dai 1, 2 indicii si lumea te credea… Si mai sunt multe chestii lipsite de fair play, dar ma rog, n-are rost sa le comentez.
Vacanta placuta, Paste Fericit, whatever… !
Salut Lucian! Eu nu-mi piş ochii la telenovele şi nici la cules de căpşuni nu mă duc, ca să salut lumea cu “Hola”. Revenind…
În primul rând, am dat dovadă de fair-play! Lipsit de fair-play ar fi fost să postez un tutorial “aşa se sparge Magazinosaurus Rex”, şi să trimit toţi script kiddies pe site-urile tale. Lipsit de fair play ar fi fost să postez un dump al bazei de date sau informaţii confidenţiale de pe respectivele site-uri. Ceea ce nu s-a întâmplat, aşa că nu mă poţi acuza de lipsă de fair-play!
În al doilea rând, gândesc singur, nu o face Alexandru Lăpuşan (şeful meu de la Zitec) pentru mine. Are el locul lui unde face caterincă, în nume propriu, anume http://www.jenant.ro. It-base.ro e un domeniu cumpărat de mine, ţinut pe un serviciu de hosting plătit de mine şi pe care îmi exprim părerile personale. Făceam asta cu mult înainte de a lucra la Zitec. Şi acest post este o părere personală!
Şi că tot a venit vorba de lucruri jenante, uite două citate, scrise la scurt timp unul după celalalt.
Pentru a fi scutit de “dude”, bani aruncaţi pe fereastră şi nervi cheltuiţi aiurea, cereţi de la început programatorului / designerului dumneavoastră să lucreze pe Magazinosaurus Rex sau, dacă nu, să vă demonstreze avantajele alegerii alternative.
…de aici. Şi..
un soft de 499 de euro , variantele 0,000x, avea lacune de securitate! Wow! Senzaţional, doamnelor şi domnilor! Mirobolant! Incredibil dar adevărat!
…de la tine de pe blog.
Cam jenant, nu? “Dude”, nervi aiurea, bani aruncaţi…
Nu am găsit bug-uri într-un site de 3 lei, ci în, citez, “cea mai vândută aplicaţie de comerţ electronic din România”. Alte pretenţii, nene…
Tudor, nu e vina mea (sau poate este!) ca este cea mai vanduta aplicatie de genul ei din Romania.
Noi insa ne straduim permanent sa o imbunatatim fara a pretinde vreodata ca e perfecta. I-am explicat lui Alex L. ce este si ce vrea de fapt aceasta aplicatie, in ce clasa vrea sa joace. Sub noi sunt si aplicatii de 100 E care in felul lor isi fac treaba foarte bine. In State e plin de firme care au loc pe piata cu cate un HTML editor, cate un Photo Editor, care nu se compara cu Photohop dar… nici nu-si propun. Cam asta e si filozofia mea de business.
Asta e ultima mea interventie. Multumesc si scuze de deranj.
Fii frate coerent. Ori e vorba de un soft ieftin care vine fără nici o garanţie din partea voastră, singurul avantaj fiind preţul, caz în care nu e wow să-i găseşti probleme şi breşe de securitate, ori e vorba de un soft care este îmbunătăţit continuu şi beneficiază de un suport puternic din partea producătorului, caz în care n-ar fi trebuit să se întâmple chestiile astea. Mai ales că Magazinosaurus Rex era în versiune stable, vândut clienţilor pe bani, nu în stadiu beta.
Nu-ţi fă griji în privinţa deranjului, dacă acesta exista, nu îţi aprobam mesajele. Cred în dreptul la replică şi în libera exprimare, aşa că simte-te liber să spui ce vrei!
Şi da, a fost o breşă de securitate în unul din produsele Zitec, anume Izuvio, dar nu atât de severă ca cea din Magazinosaurus Rex. Şi a fost descoperită în cca. 15 minute şi remediată.
Ca să nu zici că sunt rău cu tine, îţi dau un sfat gratuit. Chiar dacă ai folosit strip_tags(), tot nu s-au rezolvat în totalitate problemele legate de XSS. Aruncă un ochi peste htmlentities(). Te va scuti de (alte) momente jenante în viitor
Oamenii care iau lucrurile în serios şi care le şi fac cum trebuie înclină capul, mulţumesc şi eventual dau şi o bere celui care descoperă cum se pot îmbunătăţi produsele în care sunt implicaţi.
Toţi ceilalţi zic “n-am făcut eu”, “nu-i vina mea”, “nu e o problemă”, “mă urăşti” sau “te xxx xx xxxx”.
Trăiască specialiştii români!
[…] cum Tudor o spune foarte inspirat, România e plină e programatori de duminică în ale căror site-uri apar […]
@viorel: ti-am raspuns pe blog.
@tudor: multumesc, sincer sa fiu habar nu am ce inseamna lucrurile zise de tine (eu sunt om de marketing, nu programator, iar numele “Magazinosaurus Rex” - ca sa-ti dau o lamurire - isi propune sa vanda cam asa cum vinde si iaurtul cu “Bifidus Esensis”) dar am dat mai departe cui trebuie observatia.
@all: multumesc pentru atentie, dar as prefera sa va abtineti de la comentarii de genul care e mai prost decat care, cine irita pe cine etc. Toata istoria are la baza o… intersectare, sa-i zic asa, stupida, in urma careia nici eu, nici Tudor, nici Alex L. nici nimeni altcineva nu trebuia sa ajunga sa-si piarda aiurea timpul.
[…] sunt nişte “porcarii sinistre”, deci ne-am luat o mare ţeapă după spusele “specilistului“. Stiu foarte bine că nu este aşa şi că durerea este defapt alta. Încercând să […]
Lucian Sarbu, ne plictisesti. Faci soft prost si il vinzi la prosti. Nu mai da bomboane la pusti de 13 ani sa iti programeze tiranozauru’ ca o fac prost. Succes in continuare!
auzi tudore pune si tu un buton de donatie dupa fiecare post…. cine stie poate iti doneaza cineva… daca faci audit moca
Tudor, incearca tu sa rulezi exemplul de tau XSS. O sa fii placut surpins de minunatul alert cu dedicatie cat si de un trojan servit pe sub mustata.
Oricum neinteresant…
Domnule Lucian Sarbu, iarasi ne plictisiti…nu de alta, dar nu cu acel trojan poate sa infectati un pc de adolescente de pe hi5…
PS: trebuia tu sa fii dat pe mana unor pustani dornici de putin cracking acele date obtinute, nu mai apuca sa faca reply-uri “inteligente”
It’s easy to bitch, it’s more difficult to do something.
Toate rahatelurile mentionate de voi cu atata tam tam se rezolva in cateva minute … pentru probleme atat de comune, exista solutii la fel de comune. Nu mai aruncati cu noroi, ca miroase a invidie.
Da! Mai greu să te exprimi coerent…Nu se înţelege de partea cui eşti
Nectarie problema e ca de la bun inceput nu se fac bine.. asa ca tot bitch ramane
Tudorica… s-o aruncat si el pe aici prin zona, ce nu are voie ?
The adj. bitchy “bad-tempered” (usually of females) is first attested 1925. The verb meaning “to complain” is at least from 1930.
dex ambulant ce dracu
apropo tu stii ce ai scris acolo ?
Tudore ai dreptate, am intrat si eu in posesia acestui script, defapt am reusit sa sparg serverul si sa iau acest magazin virtual de la un client care a cumparat de la ei porcaria asta de magazin rex, intradevar securitatea e la pamant. In concluzie ; nu cumparati Magazinosaurus Rexpentru ca munciti din greu sa adaugati produsele si alte elemente de grafica…si o sa realizati ca frecvent sitr-ul dvs va fi hackuizat.
un magazin online inseamna investitii de 3-5 mii euro + 300-500 euro lunar, servicii realizate de o firma cu simnt de raspundere. si pentru tata google, nea la tata : Magazin virtual, Magazinosaurus Rex, Magazin Online, Magazin Rex
Dap! Problema e că mulţi nu-şi dau seama de aceaastă chestie şi se gândesc că nu o să li se întâmple chiar lor, motiv pentru care preferă să dea 2-300 de euro pe o porcărie gen Magazinosaurus Rex decât să apeleze la o firmă profesionistă!
Citesc ce scrieti voi, baieti, aici, apreciez faptul ca sunteti perfectionisti and so… DAR ce alternativa mi-ati sugera (eram gata-gata sa cumpar un produs de la mgnzurusrex pentru un client de-al meu…)?
Mulztumesc.
Apreciez perfectionismul vostru si ce scrieti voi, baieti, aici, DAR.
Ce alternativa-mi sugerati (eram gata-gata sa cumpar pentru un client de-al meu un preodus al MgnzurusRex…)?
Multzumesc.
Poţi încerca Magento…
Multzumesc, Tudor… Arata bine… Voi aprofunda.
Si care site nu poate fi spart?, dar sa nu depasesca 450 euro.
Vreau sa cumpar unul.
ce ar fi foarte util aici este o datare a posturilor
postul asta e scris in primavara lui 2007, cel putin asa rezulta din bloguri