Pamatujete si, co jste dělali počátkem června roku 2013? Výborně, já také moc ne. Jen si matně vzpomínám, že jsem od pořadatelů soutěže WebTop100 opět dostal nabídku stát se odborným garantem pro bezpečnost a technické řešení. A opět jsem pár dní přemýšlel, jestli onu nabídku přijmout nebo ne. Opět to samé dilema, opět přemýšlení, jestli se vydat na tu dlouhou trať, na jejímž samém konci se tvůrci a majitelé přihlášených webů dozví, co příště udělat lépe a které problémy vyřešit ihned.

A tak jsem za pár dní zase napsal zprávu, ve které stálo „přijímám“. Stejně jako minulý rok. V červnu jsem ovšem ani zdaleka netušil, co mě vlastně čeká. Jen mezi námi, trochu jsem to tušil, protože hodnotím weby již třetí rok, ale netušil jsem, že mě toho čeká tolik.

Tisíc třílitrových lahví vodky na dobírku

Mám spoustu nového materiálu na mé školení bezpečnosti webových aplikací, vím toho spoustu o vývojářských firmách a provozovatelích přihlášených webů a taky vím, že můj kamarád Pepa Lobotka si 22. září objednal alkohol za 4 229 Kč na jednom z přihlášených e-shopů.

Dozvěděl jsem se to pohledem do administrace daného e-shopu, do které jsem se jednoduše dostal i poté, co mi daný e-shop zablokoval přístup, protože si správci všimli mých podezřelých objednávek.

Rozumějte, objednat si tisíc třílitrových lahví vodky Russian Standard do Karlových Varů ještě není nic neobvyklého, ale provést objednávku za 1 683 001 100 000 000 049 3­54 798 289 387 520 Kč a nakoupený alkohol si nechat poslat na dobírku, to už člověk musí mít tuhle zemi moc rád, ona totiž spotřební daň z této sumičky by nás všechny, včetně důchodců i dětí vašich dětí, vytáhla na jedno až dvě volební období z úplně všech problémů.

Ale jelikož se většina firem zakládá za účelem generování zisku a ne kvůli zachraňování státního rozpočtu, tak daná objednávka byla zrušena a mně byl na daný e-shop zablokován přístup. Tomu říkám patriotismus.

Mně to zablokování samozřejmě vůbec nevadí, zásoby Ruského Standardu na víkend mohu nakoupit kdekoliv jinde, ale pokud tento text čte někdo, komu se uvedené objednávky zdají povědomé, pak vězte, že ta blokace byla zcela hloupá akce, která se naprosto minula účinkem.

Stačí vzít telefon, zapnout mobilní připojení, počkat, až se rozsvítí ikonka 3G a díky našim operátorům nabízejícím dokonalé pokrytí a nejrychlejší sítě se tak na web připojit z jiné IP adresy i přesto, že o moji přízeň provozovatel evidentně nestojí. I přes zablokovaný přístup se tedy dívám do administrace, jestli mi to zboží již posílají a mám tedy čekat doma na lísteček „adresát nezastižen – oznámeno“ vhozený do schránky.

Na uvedeném příkladu je nejenom vidět neschopnost provozovatele jakkoliv řešit nějakou nestandardní situaci, ale i neschopnost programátorů mi jednak omezením množství kupovaného zboží zabránit, abych se uchlastal k smrti, ale především neschopnost mi zabránit v tom, abych se mohl dívat do administrace e-shopu, co si lidé, včetně mého kamaráda Pepy, kupují. Kam si to nechávají doručovat a zjišťovat adresy, na kterých se přes den nenachází, to v případě, kdy si zboží nechávají doručovat do práce, a je tedy bezpečné nakouknout do administrace jejich obýváků.

Cross-Site Scripting (XSS)

Na tomto nejmenovaném e-shopu jsem provedl objednávku se speciálně upraveným jménem, do kterého jsem vložil jednoduchý JavaScriptový kód a díky tomu, že programátoři neošetřili část webu, kde se správcům e-shopu zobrazují objednávky se tento kód vložený do jména zákazníka spustil v prohlížeči administrátora, který se právě snažil zpracovat a hlavně pochopit moji objednávku.