Вторник, 26.11.2024, 02:03
Приветствую Вас Гость

Стань эффективней

Сгореть лучше, чем угаснуть

Главная | Регистрация | Вход | RSS
Главная » 2011 » Апрель » 14 » Крупнейшие торговые сайты полностью открыты для атак
17:30
Крупнейшие торговые сайты полностью открыты для атак
Специалисты в области компьютерных систем зарегистрировали серьезные недостатки в программном обеспечении некоторых крупнейших торговых сайтов и показали, как они могут быть атакованы с целью получения DVD, журналов в электронном виде и других продуктов бесплатно или по сильно сниженным ценам, которые не были установлены продавцами.

Материалы исследований, перенесенные на бумагу с целью представления на симпозиуме IEEE Symposium on Security and Privacy в следующем месяце, содержат обвинения против создателей программного обеспечения, сайтов торговли в интернете и сторонних компаний приема платежей от клиентов. Пользуясь ошибками программных интерфейсов, которые совместно используют указанные выше 3 стороны, исследователям удалось обмануть такие сайты, как Buy.com, JR.com и LinuxJournalStore.com. (Позже исследователи отменили сделки и возвратили полученные товары, чтобы обойти правовые и этические ограничения.)

Исследователи из компании Microsoft и университета Индианы показали, что уязвимости берут начало в межсетевой коммуникации между конечным пользователем, совершающим покупку, онлайн-продавцами и провайдерами-кассирами, такими, как PayPal, Amazon Payments и Google Checkout. "Трёхстороннее взаимодействие" настолько сложно, что две самые популярные e-commerce программы, используемые как связующие элементы, могут быть с лёгкостью обмануты и могут одобрить сделки без перевода денег или с переводом маленькой части денег, которая сильно отличается от настоящей цены приобретаемого продукта.

"К сожалению, трехстороннее взаимодействие может быть значительно более сложным, чем обычные двусторонние взаимодействия между браузером и сервером, как в обычных веб-приложениях. Они, как было обнаружено, подвержены трудноуловимым логическим ошибкам", - написали исследователи. "Поэтому мы считаем, что подозревая присутствие вредоносного покупателя, который хочет воспользоваться брешью между продавцом и CaaS, чрезвычайно сложно гарантировать безопасность системы контроля платежей".

Один из методов, который они использовали для бесплатного получения товаров, состоял в том, что исследователи создали собственный аккаунт продавца на Amazon и затем приобрели вещь у другого продавца, использующего платежную систему Amazon. По достижении контрольно-кассового пункта, они изменили данные, посылаемые серверу их браузером таким образом, что оплата была зачислена на их собственный аккаунт продавца, а не на счет продавца приобретенной вещи.

Отдельный метод состоял в клонировании цифрового маркера, который PayPal Express использует для уникальной идентификации определенного платежа, и его ввода в процесс оформления другого заказа. Такой фокус приводит к тому, что Buy.com пропускает процесс оплаты во время оформления второго заказа, что позволило исследователям получить покупаемую вещь совершенно бесплатно.

Еще одна атака использует логический недостаток в системе, используемой PayPal, которой не удалось подтвердить общую сумму платежа от покупателя. Это позволило фиктивному покупателю, которого исследователи назвали Марком, заплатить $1.76 продавцу, которого они назвали Джеффом, а затем увеличить сумму, указанную на сервере Джеффа, до $17.76.

"Интересно, что счёт-фактура Джеффа подтвердила платёж в размере $17.76", - сообщили исследователи. "Не было никакого признака того, что на самом деле платеж составлял $1.76".

Проблемы начинаются в двух самых распространенных пакетах программного обеспечения для торговли в Интернете – NopCommerce с открытым исходным кодом и коммерческой Interspire Shopping Cart. Путем исследования исходного кода или его установкой на серверы лаборатории, стало возможным обнаружить уязвимости и найти практические способы воспользоваться ими.

Вооружившись этими знаниями, они нацелились на собственное программное обеспечение с закрытым кодом, используемое Buy.com и JR.com.

Они сказали, что проанализированное программное обеспечение было очень уязвимо, потому что оно было разработано как достаточно гибкое и универсальное для того, чтобы работать с различными интернет-магазинами и платежными системами. Как результат, они обнаружили программные интерфейсы, которыми было легко манипулировать.

"Хакерская сторона может использовать эти API для незаконных заказов, устанавливать значения цен в своих вызовах по своему желанию, подписывать сообщения подписью и запоминать сообщения, полученные от других участников, для воспроизведения в будущем", - написали исследователи.

Исследователи отметили, что платежные системы также несут ответственность за это. В Amazon Payments была обнаружена серьёзная ошибка в программном обеспечении, которая позволяла атакующим предоставлять свои цифровые сертификаты, которые используются во время процесса верификации.

Исследователями были Руи Ван и СяоФэн Ван из Университета Индианы и Шуо Чен и Шаз Кадир из Microsoft. Они сказали, что они сообщили исследуемым сайтам и компаниям об обнаруженных уязвимостях и все компании и сайты уже либо исправили ошибки, либо объявили создание исправлений своей "приоритетной задачей".

Работа в формате PDF может быть найдена здесь.
Просмотров: 559 | Добавил: 0xID | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *:
Форма входа
Поиск
Календарь
«  Апрель 2011  »
ПнВтСрЧтПтСбВс
    123
45678910
11121314151617
18192021222324
252627282930
Архив записей
Наш опрос
Оцените мой сайт
Всего ответов: 15
Друзья сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0