Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

X-Force: хакеры отовариваются с большой скидкой


                                                                                                                     



В системах сетевой торговли имеется серьезная "дыра", которая позволяет хакерам не просто ломать web-сайты, но и извлекать из взломов пользу - например, делать себе скидки при покупке товаров через Интернет. Об это сообщила служба X-Force компании ISS (Internet Security Systems). 

Согласно X-Force, дыра содержится в 11 приложениях так называемых "корзин покупателя". Это специальные программы, позволяющие посетителям электронных магазинов записывать на свой счет определенные товары. HTML-формы данных программ содержат ряд скрытых полей, где записывается некоторая информация о товарах (название, вес, цена и т.п.). Эти данные не вводятся пользователем, а автоматически подставляются с помощью CGI-скрипта, когда посетитель электронного магазина кликает на название товара, добавляя его в свою корзину.

Однако оказывается, что эти данные (например, цену) можно легко подправить "вручную". В программах, о которых сообщает X-Force, не предусмотрено изменение этих параметров на стороне пользователя - поэтому не предусмотрена и проверка на этот счет. Не нужно быть даже хакером, чтобы подправить цену в форме перед отправкой - и тогда товар будет добавлен в корзину "со скидкой". Аналогично можно сделать себе скидку в случае, если параметры покупки указываются в URL-адресе товара - тогда нужно просто подправить цену в этом адресе.

Поскольку сделки часто происходят в "реальном времени" (после передачи на сайт номера кредитной карточки покупка считается состоявшейся), электронные магазины могут быстро разориться на таких "дырах". Как сообщил директор X-Force Крис Роланд, пока ни один web-магазин не заявил в ISS о том, что был подвергнут ограблению таким способом. Однако, как считает Роланд, если дыра существует - ею уже наверняка пользуются. "Просто такие трюки нелегко отследить", считает специалист.

Напомним также, что буквально неделю назад аналогичную дыру в "корзине покупателя" случайно обнаружил один из клиентов крупного онлайнового магазина Outpost.com. Он решил выяснить, что случится, если URL-адресе его "корзины", поменять цифры номера заказа, то есть попробовать попасть в "корзину" другого покупателя. Оказалось, что это возможно - измененный адрес привел его на эккаунт другого пользователя Outpost.com, где содержалась различная приватная информация. Как выяснилось теперь, тем же способом можно не только подглядывать в чужие "корзины", но и наполнять свою товарами по сниженным ценам.

Lenta.Ru


<== Back to main page