Bank Rupay. Die Gefahr von versteckten Feldern, Probleme und Schutz
-------------------------------------------------- -----------------
| 10.09.2004 | geschrieben von Durito // lwb57 |
| e-mail: Durito [at] mail [dot] ru | Kontakt: www.lwb57.org |
-------------------------------------------------- -----------------
| = - | Bank Rupay. Die Gefahr von versteckten Feldern, Probleme und Schutz | - = |
-------------------------------------------------- -----------------
Alle der oben genannten wurden rupay.ru Administratoren berichtet, aber als
Es ist in der Regel sie unbeaufsichtigt gelassen.
Bank rupay neben das ist einer der Dienste auf
Umwandlung von verschiedenen elektronischen Währungen, bietet seinen
Nutzer von Zahlungsannahmesystem für Online-Händler.
Das System ist sehr einfach, müssen nur die folgende einfügen
HTML-Code auf seine shope:
ID - Site-ID (Sie können oben auf der linken Seite sehen
der Name Ihrer Website)
SUM - Summe in USD, die auf Ihrem Konto gutgeschrieben werden, der Käufer
wird in der Menge der Währung ausgegeben werden wählte ihn auf Kommission auf der Grundlage
Zahlungssystem
name_service - eine kurze Beschreibung der Ware
order_id - die laufende Nummer (können Sie in diesem Bereich legen Sie die interne
durch seinen Speicher für zusätzliche Identifizierung der Zahlung)
Wir können sehen, dass der Preis für das Produkt, dessen Beschreibung und der Bestellnummer an die übertragen werden
versteckte Felder aus. Natürlich wäre es möglich, sofort zu tun ändern
Preise, aber so zu tun, deren Benutzer shop'y Rupay unwahrscheinlich unterstützt
Passform. Die Manipulation des Preises der Ware werden bei größeren Geschäften gehalten,
In unserem Fall ist das Produkt in der Regel das Stück, und die Handelsvolumina
nicht groß. Und wenn der Admin-Seite, die ein Produkt für $ 100 verkauft
erhalten als Zahlung von $ 5 (mit Mengen von weniger als 5 $ Rupay nicht
Werke), ist es unwahrscheinlich, dass Sie Ihren Auftrag empfangen werden.
Das Problem liegt in meinem vzlyad in einem anderen. Bei Bruch shop'a
Arbeiten durch Rupay, hat ein Angreifer nichts kosten zu ersetzen
An Ihrem Standortkennung und für eine Weile still
$ Fremden erhalten.
Schutz gegen ähnliche in mehrfacher Hinsicht.
Die einfachste - ist Ihr Geschäft in den Rahmen zu bauen, in diesem Fall,
Zeigen Sie den HTML-Code shop'a Seiten wird es schwierig, aber möglich sein.
Teleportation Programm-Download-Site, und wählen Sie die Seite auf,
enthält HTML-Code Rupay und gelten für sie direkt. So
ist es möglich, ein Beispiel für meine Website zu machen http://durito.narod.ru
---
Wenn Sie eine Seite in einem Frame-Shop öffnen, dann sehen
html-Code wird nicht gelingen. Aber wenn wir drehen direkt
http://durito.narod.ru/shop.htm wir werden offen, ohne dass Frames.
Wenn der Angreifer Zugriff auf den Inhalt der FTP-Site hat,
Alles, was es vereinfacht.
Eine andere Möglichkeit ist es, die den HTML-Code spezifisch zu kodieren
Programme HTML-GUARD, Secure HTML Lock.
Ich glaube, Sie bereits http://durito.narod.ru/shop.htm geöffnet haben, versucht
sehen Sie den Code, und sehen Sie die komplette Kauderwelsch.
Er verfolgt von HTML Guard, die roh verschlüsselt, so dass auch
wenn Ihr Geschäft in den Händen der Angreifer, konnte er nicht gelingen
Ändern Sie die Kennung Rupay Website. Entkommen mit nur geringen
verunstaltet.
+ ------------------------------------------------- ---------------- +
| Ñopyright 2002-2004 von LwB Security Team. |
+ ------------------------------------------------- ---------------- +
Kommentare
Kommentar nicht vergessen , dass der Inhalt und der Ton Ihrer Nachrichten , die Gefühle von echten Menschen verletzen können, Respekt und Toleranz gegenüber seinen Gesprächspartnern, auch wenn Sie Ihr Verhalten in Bezug auf die Meinungsfreiheit ihre Meinung nicht teilen, und die Anonymität des Internets, ändert sich nicht nur virtuell, sondern realen Welt. Alle Kommentare werden aus dem Index, Spam - Kontrolle versteckt.