Главная » 2011 » Апрель » 14 » Крупнейшие торговые сайты полностью открыты для атак
17:30 Крупнейшие торговые сайты полностью открыты для атак |
Специалисты в области компьютерных систем зарегистрировали серьезные недостатки в программном обеспечении некоторых крупнейших торговых сайтов и показали, как они могут быть атакованы с целью получения DVD, журналов в электронном виде и других продуктов бесплатно или по сильно сниженным ценам, которые не были установлены продавцами.
Материалы исследований, перенесенные на бумагу с целью представления на симпозиуме IEEE Symposium on Security and Privacy в следующем месяце, содержат обвинения против создателей программного обеспечения, сайтов торговли в интернете и сторонних компаний приема платежей от клиентов. Пользуясь ошибками программных интерфейсов, которые совместно используют указанные выше 3 стороны, исследователям удалось обмануть такие сайты, как Buy.com, JR.com и LinuxJournalStore.com. (Позже исследователи отменили сделки и возвратили полученные товары, чтобы обойти правовые и этические ограничения.)
Исследователи из компании Microsoft и университета Индианы показали, что уязвимости берут начало в межсетевой коммуникации между конечным пользователем, совершающим покупку, онлайн-продавцами и провайдерами-кассирами, такими, как PayPal, Amazon Payments и Google Checkout. "Трёхстороннее взаимодействие" настолько сложно, что две самые популярные e-commerce программы, используемые как связующие элементы, могут быть с лёгкостью обмануты и могут одобрить сделки без перевода денег или с переводом маленькой части денег, которая сильно отличается от настоящей цены приобретаемого продукта.
"К сожалению, трехстороннее взаимодействие может быть значительно более сложным, чем обычные двусторонние взаимодействия между браузером и сервером, как в обычных веб-приложениях. Они, как было обнаружено, подвержены трудноуловимым логическим ошибкам", - написали исследователи. "Поэтому мы считаем, что подозревая присутствие вредоносного покупателя, который хочет воспользоваться брешью между продавцом и CaaS, чрезвычайно сложно гарантировать безопасность системы контроля платежей".
Один из методов, который они использовали для бесплатного получения товаров, состоял в том, что исследователи создали собственный аккаунт продавца на Amazon и затем приобрели вещь у другого продавца, использующего платежную систему Amazon. По достижении контрольно-кассового пункта, они изменили данные, посылаемые серверу их браузером таким образом, что оплата была зачислена на их собственный аккаунт продавца, а не на счет продавца приобретенной вещи.
Отдельный метод состоял в клонировании цифрового маркера, который PayPal Express использует для уникальной идентификации определенного платежа, и его ввода в процесс оформления другого заказа. Такой фокус приводит к тому, что Buy.com пропускает процесс оплаты во время оформления второго заказа, что позволило исследователям получить покупаемую вещь совершенно бесплатно.
Еще одна атака использует логический недостаток в системе, используемой PayPal, которой не удалось подтвердить общую сумму платежа от покупателя. Это позволило фиктивному покупателю, которого исследователи назвали Марком, заплатить $1.76 продавцу, которого они назвали Джеффом, а затем увеличить сумму, указанную на сервере Джеффа, до $17.76.
"Интересно, что счёт-фактура Джеффа подтвердила платёж в размере $17.76", - сообщили исследователи. "Не было никакого признака того, что на самом деле платеж составлял $1.76".
Проблемы начинаются в двух самых распространенных пакетах программного обеспечения для торговли в Интернете – NopCommerce с открытым исходным кодом и коммерческой Interspire Shopping Cart. Путем исследования исходного кода или его установкой на серверы лаборатории, стало возможным обнаружить уязвимости и найти практические способы воспользоваться ими.
Вооружившись этими знаниями, они нацелились на собственное программное обеспечение с закрытым кодом, используемое Buy.com и JR.com.
Они сказали, что проанализированное программное обеспечение было очень уязвимо, потому что оно было разработано как достаточно гибкое и универсальное для того, чтобы работать с различными интернет-магазинами и платежными системами. Как результат, они обнаружили программные интерфейсы, которыми было легко манипулировать.
"Хакерская сторона может использовать эти API для незаконных заказов, устанавливать значения цен в своих вызовах по своему желанию, подписывать сообщения подписью и запоминать сообщения, полученные от других участников, для воспроизведения в будущем", - написали исследователи.
Исследователи отметили, что платежные системы также несут ответственность за это. В Amazon Payments была обнаружена серьёзная ошибка в программном обеспечении, которая позволяла атакующим предоставлять свои цифровые сертификаты, которые используются во время процесса верификации.
Исследователями были Руи Ван и СяоФэн Ван из Университета Индианы и Шуо Чен и Шаз Кадир из Microsoft. Они сказали, что они сообщили исследуемым сайтам и компаниям об обнаруженных уязвимостях и все компании и сайты уже либо исправили ошибки, либо объявили создание исправлений своей "приоритетной задачей".
Работа в формате PDF может быть найдена здесь.
|
|
Просмотров: 541 |
Добавил: 0xID
| Рейтинг: 0.0/0 |
|
| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|