Банк Rupay. Опасность скрытых полей, проблемы и защита

:[ LwB Security Team -- lwb57 ]:
-------------------------------------------------------------------
| 10.09.2004 | written by durito // lwb57 |
| e-mail: durito[at]mail[dot]ru | contact: www.lwb57.org |
-------------------------------------------------------------------
|=- | Банк Rupay. Опасность скрытых полей, проблемы и защита | -=|
-------------------------------------------------------------------

Все вышеизложенное было сообщено админам rupay.ru, но как это
бывает обычно, оставлено ими без внимания.
Банк rupay кроме того, что является одним из сервисов по
конвертации различных электронных валют, также предлогает своим
пользователям систему приема платежей для интернет-магазинов.
Система очень простая, нужно всего лишь вставить следующий
html-код на своем shopе:




ID - идентификатор сайта (его Вы можете увидеть выше, слева от
названия Вашего сайта)
SUM - сумма в USD, которая будет зачислена на Ваш счет, покупателю
будет выдаваться сумма в выбранной ним валюте с учетом комиссии
платежной системы
name_service - краткое описание товара
order_id - номер заказа (Вы можете вставлять в это поле внутренний
счет своего магазина для дополнительной идентификации оплаты)

Мы видим, что цена товара, его описание и номер заказа передаются в
скрытых полях. Конечно можно было бы сразу заняться изменением
цены, но для этого юзеры, чьи shop'ы поддерживаются Rupay вряд ли
подойдут. Манипуляции ценой товара проходят на крупных магазинах,
в нашем случае товар, как правило, штучный, да и торговые обороты
не велики. И если админ сайта, который продает товар по 100$
получит в качестве оплаты 5$ (с суммами менее 5$ Rupay не
работает), то вряд ли Вы получите свой заказ.

Проблема кроется, на мой взляд, в другом. В случае взлома shop'а
работающего через Rupay, злоумышленнику ничего не стоит подменить
идентификатор сайта магазина на свой, и спокойно некоторое время
получать чужие $.

Зашититься от подобного можно несколькими способами.
Самое простое - это построить свой шоп на фреймах, в таком случае
просмотреть html-код страниц shop'а будет сложно, но можно.
Программой Teleport скачиваете сайт, а далее выбираете страницы,
содержащие html-код Rupay, и обращаетесь напрямую к ним. Вот как
это можно сделать на примере моего сайта http://durito.narod.ru
---
Если Вы откроете во фрейме страницу shop, то просмотреть ее
html-код не удасться. Но если обратиться напрямую
http://durito.narod.ru/shop.htm то станиться откроется без фреймов.
Если же у злоумышленника есть доступ к содержимому сайта по ftp,
то все упрощается.

Другой способ заключается в кодировании html-кода специальными
программами HTML GUARD, Secure HTML Lock.
Думаю Вы уже открыли http://durito.narod.ru/shop.htm, пытались
просмотреть код, и увидели полную абракадабру.
Это следы работы HTML GUARD, который шифрует сырцы так, что даже
если Ваш shop оказался в руках злоумышленника, ему никак не удастся
сменить идентификатор сайта Rupay. Отделаетесь только легким
дефейсом.

+-----------------------------------------------------------------+
| Сopyright 2002-2004 by LwB Security Team. |
+-----------------------------------------------------------------+


Дата створення/оновлення: 25.05.2018

stop war in Ukraine

ukrTrident

stand with Ukraine