Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Крупнейшие торговые сайты полностью открыты для атак

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Aibolit
    Aibolit
    Aibolit вне форума

    Администратор
    Регистрация
    22.03.2011
    Сообщений
    941
    Поблагодарил(а)
    690
    Благодарностей
    304

    Крупнейшие торговые сайты полностью открыты для атак

    Специалисты в области компьютерных систем зарегистрировали серьезные недостатки в программном обеспечении некоторых крупнейших торговых сайтов и показали, как они могут быть атакованы с целью получения DVD, журналов в электронном виде и других продуктов бесплатно или по сильно сниженным ценам, которые не были установлены продавцами.

    Материалы исследований, перенесенные на бумагу с целью представления на симпозиуме IEEE Symposium on Security and Privacy в следующем месяце, содержат обвинения против создателей программного обеспечения, сайтов торговли в интернете и сторонних компаний приема платежей от клиентов. Пользуясь ошибками программных интерфейсов, которые совместно используют указанные выше 3 стороны, исследователям удалось обмануть такие сайты, как Buy.com, JR.com и LinuxJournalStore.com. (Позже исследователи отменили сделки и возвратили полученные товары, чтобы обойти правовые и этические ограничения.)

    Исследователи из компании Microsoft и университета Индианы показали, что уязвимости берут начало в межсетевой коммуникации между конечным пользователем, совершающим покупку, онлайн-продавцами и провайдерами-кассирами, такими, как PayPal, Amazon Payments и Google Checkout. "Трёхстороннее взаимодействие" настолько сложно, что две самые популярные e-commerce программы, используемые как связующие элементы, могут быть с лёгкостью обмануты и могут одобрить сделки без перевода денег или с переводом маленькой части денег, которая сильно отличается от настоящей цены приобретаемого продукта.

    "К сожалению, трехстороннее взаимодействие может быть значительно более сложным, чем обычные двусторонние взаимодействия между браузером и сервером, как в обычных веб-приложениях. Они, как было обнаружено, подвержены трудноуловимым логическим ошибкам", - написали исследователи. "Поэтому мы считаем, что подозревая присутствие вредоносного покупателя, который хочет воспользоваться брешью между продавцом и CaaS, чрезвычайно сложно гарантировать безопасность системы контроля платежей".



    Один из методов, который они использовали для бесплатного получения товаров, состоял в том, что исследователи создали собственный аккаунт продавца на Amazon и затем приобрели вещь у другого продавца, использующего платежную систему Amazon. По достижении контрольно-кассового пункта, они изменили данные, посылаемые серверу их браузером таким образом, что оплата была зачислена на их собственный аккаунт продавца, а не на счет продавца приобретенной вещи.

    Отдельный метод состоял в клонировании цифрового маркера, который PayPal Express использует для уникальной идентификации определенного платежа, и его ввода в процесс оформления другого заказа. Такой фокус приводит к тому, что Buy.com пропускает процесс оплаты во время оформления второго заказа, что позволило исследователям получить покупаемую вещь совершенно бесплатно.

    Еще одна атака использует логический недостаток в системе, используемой PayPal, которой не удалось подтвердить общую сумму платежа от покупателя. Это позволило фиктивному покупателю, которого исследователи назвали Марком, заплатить $1.76 продавцу, которого они назвали Джеффом, а затем увеличить сумму, указанную на сервере Джеффа, до $17.76.

    "Интересно, что счёт-фактура Джеффа подтвердила платёж в размере $17.76", - сообщили исследователи. "Не было никакого признака того, что на самом деле платеж составлял $1.76".

    Проблемы начинаются в двух самых распространенных пакетах программного обеспечения для торговли в Интернете – NopCommerce с открытым исходным кодом и коммерческой Interspire Shopping Cart. Путем исследования исходного кода или его установкой на серверы лаборатории, стало возможным обнаружить уязвимости и найти практические способы воспользоваться ими.

    Вооружившись этими знаниями, они нацелились на собственное программное обеспечение с закрытым кодом, используемое Buy.com и JR.com.

    Они сказали, что проанализированное программное обеспечение было очень уязвимо, потому что оно было разработано как достаточно гибкое и универсальное для того, чтобы работать с различными интернет-магазинами и платежными системами. Как результат, они обнаружили программные интерфейсы, которыми было легко манипулировать.

    "Хакерская сторона может использовать эти API для незаконных заказов, устанавливать значения цен в своих вызовах по своему желанию, подписывать сообщения подписью и запоминать сообщения, полученные от других участников, для воспроизведения в будущем", - написали исследователи.

    Исследователи отметили, что платежные системы также несут ответственность за это. В Amazon Payments была обнаружена серьёзная ошибка в программном обеспечении, которая позволяла атакующим предоставлять свои цифровые сертификаты, которые используются во время процесса верификации.

    Исследователями были Руи Ван и СяоФэн Ван из Университета Индианы и Шуо Чен и Шаз Кадир из Microsoft. Они сказали, что они сообщили исследуемым сайтам и компаниям об обнаруженных уязвимостях и все компании и сайты уже либо исправили ошибки, либо объявили создание исправлений своей "приоритетной задачей".

    Источник xakep.ru
    Последний раз редактировалось Aibolit; 14.04.2011 в 00:15.

 

 

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 24.08.2011, 00:56

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •