|
X-Force: хакеры отовариваются с большой скидкой
В системах сетевой торговли имеется серьезная "дыра", которая позволяет хакерам не просто ломать web-сайты, но и извлекать из взломов пользу - например, делать себе скидки при покупке товаров через Интернет. Об это сообщила служба X-Force компании ISS (Internet Security Systems).
Согласно X-Force, дыра содержится в 11 приложениях так называемых "корзин покупателя". Это специальные программы, позволяющие посетителям электронных магазинов записывать на свой счет определенные товары.
HTML-формы данных программ содержат ряд скрытых полей, где записывается некоторая информация о товарах (название, вес, цена и т.п.). Эти данные не вводятся пользователем, а автоматически подставляются с помощью CGI-скрипта, когда посетитель электронного магазина кликает на название товара, добавляя его в свою корзину.
Однако оказывается, что эти данные (например, цену) можно легко подправить "вручную". В программах, о которых сообщает X-Force, не предусмотрено изменение этих параметров на стороне пользователя - поэтому не предусмотрена и проверка на этот счет. Не нужно быть даже хакером, чтобы подправить цену в форме перед отправкой - и тогда товар будет добавлен в корзину "со скидкой". Аналогично можно сделать себе скидку в случае, если параметры покупки указываются в URL-адресе товара - тогда нужно просто подправить цену в этом адресе.
Поскольку сделки часто происходят в "реальном времени" (после передачи на сайт номера кредитной карточки покупка считается состоявшейся), электронные магазины могут быстро разориться на таких "дырах". Как сообщил директор X-Force Крис Роланд, пока ни один web-магазин не заявил в ISS о том, что был подвергнут ограблению таким способом. Однако, как считает Роланд, если дыра существует - ею уже наверняка пользуются. "Просто такие трюки нелегко отследить", считает специалист.
Напомним также, что буквально неделю назад аналогичную дыру в "корзине покупателя" случайно обнаружил один из клиентов крупного онлайнового магазина Outpost.com. Он решил выяснить, что случится, если URL-адресе его "корзины", поменять цифры номера заказа, то есть попробовать попасть в "корзину" другого покупателя. Оказалось, что это возможно - измененный адрес привел его на эккаунт другого пользователя Outpost.com, где содержалась различная приватная информация. Как выяснилось теперь, тем же способом можно не только подглядывать в чужие "корзины", но и наполнять свою товарами по сниженным ценам.
Lenta.Ru
|