Кручу дырочку в одном крупном интернет магазине. Причем мне дали официальное добро найти дыру и рассказать о ней. Давно я не искал ошибок на чужих сайтах и прямо как-то подстегнуло найти что-то. За час пока нашел один небольшой косяк, но вроде бы как известно, что есть еще один, более серьезный. Нужно выяснить, как пользователь смог обойти систему.
Странно то, что пользователи покупали товар с обманом всего до $25. По крайней мере именно это я увидел в ордерах, которые мне дал клиент. В основном же полный ордер был в среднем на $300, а обман составлял всего лишь $10. В одном случае пользователь купил на $250, а обман был менее доллара. Такие мелкие цифры меня натолкнули на мысль, что пользователи, которые получили обманным путем скидку в $1 доллар и чуть более, могли даже не подозревать, что они имеют систему. Просто сумма слишком смешная, а платили реальными кредитными картами. Хотя на счет реальности я не знаю, это мне не сообщили, но все равно.
Допустим, ты знаешь, что в интернет магазине можно получить скидку от $1 до $10 долларов мошенническим путем. Будешь ли ты рисковать? Обязательное условие - получение товара, потому что этот интернет магазин торгует реальными товарами, типа электронники, DVD и т.д. Если отсылать себе домой телевизор, то придется выдать свой адрес, а отсылать на посредника, ему придется платить процент. Стоит ли это $10?
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Нет конечно,сэкономить 300 рублей,а потом бегать и объяснять что ты не верблюд.
Михаэль, сорри за оффтоп, но что символизирует красный высынутый язык в самом верху?)
Абсолютно ничего не символизирует. Просто нашел иконку на диске у себя и решил повесить туда
И это постит в блоге человек который пару дней назад предлагал WMZ через PayPal "застолбить", странно, в чем тут прикол??? Стиву Джобсу администрация СП-б хочет поставить в Купчино, (один из самых наркотских районов), говорят что заявки будут принимать только через интернет, что очень символично для создателя Apple, хотя не понимаю какая связь, протокол ТСР/IP тоже он разработал, или это как Шурик в "Кавказкая пленница",
- ... затем на развалинах чесовни....
- Простите чесовню тоже я?
- Нет, это сделали до вас, еще в 17-ом веке.
но суть в том что, пока лидером проекта является стеклянное яблоко, И это в таком то районе??? Ну как тут не вспомнить старую русскую поговорку "Дураку стеклянный член до первого столба", Еще говорят о том что этот памятник в мире будет всего лишь вторым, первый как не странно стоит уже в Будапеште,
А как давно "дырочки" не искали, Михаил, со времен написания "РНР глазами....
Получить скидку честным методом - это вполне нормально. Здесь в Канаде распродажи - пермонентное состояние, просто на дилах висят разные товары и я постоянно экономлю на скидках. Но получать скидку в 2% - 3% накручивая систему - это совсем другое и я бы не стал этого делать.
Я не искал на чужих сайтах уже давно, наверно со времен Web глазами хакера, она вышла чуть возже, чем PHP. Но свои сайты я тестирую иногда, когда есть время. Проблема в том, что времени не бывает, поэтому в основном просто доверяю коду, что написал с первого раза.
Все зависит от того в чем заключается техника обмана, если где-то кликнуть пару раз(ведь речь о хаке не идет как я понимаю) то это явно проблема не покупателя, а ответственных за эл. магазин. Я и многие знакомые так годядю нагревали в свое время, когда была лазейка через которую можно было снижать цену на домены до нескольких десятков центов. Дыра просуществовала без малого пол года прежде чем ее прикрыли и сдается мне все обо всем знали, но было это на руку ибо народ брал не качеством, а количеством.
Про скидки в Канаде совершенно верно, вчера ездили в Воган Милс, вот где раздолье, смешные цены за отличные товары. В роиссе об этом можно было только мечтать.
2Канадский ленивец
Съездий на Orfus Rd. Это такая нищая улица позади Yorkdale центра где находятся скидочные магазины. Больше половины того, что там продается дерьмо полнейшее (остатки или не популярные размеры), но полно и хороших вариантов.
Название города Vaughan достаточно интересно, с точки зрения английского языка. Когда меня жена спросила, как это читать, я ей говорю - вон. Она была в шоке, как из такого количества букв, осталось только три. Ну ладно au уже привыкли читать как о, но почему остальные буквы не читаются, я не знаю.
Как-то нашли SQL-инъекцию в интернет магазине, который продает тайскую еду. Нашли там табличку со скидками, взяли код для 50% скидки. И при вводе заказа там было поле, куда можно было ввести этот код. Там код был смайлик ":)". Как-то не боялись делать заказ. И когда нам позвонили, то спрашивали откуда у нас скидка, мы притворялись, что подобрали. После этого они изменили запись в БД, но дыру прикрыли немного позже.
А нормальных контактов, куда можно было написать про уязвимость на сайте не было, объяснять что-то тем, кто по телефону проверяет заказы было лень.
А так надеялись покушать на халяву )
канальный ленивец, не надо Россию называть роиссей
Виктор, роисся заслуживает своего названия.
Михаил, я не претендую на роль учителя словесности. Но это явно не Вон, а скорее Воуан или Воан, можете к примеру гугль транслейт(не говоря о ваших коллегах) послушать. Ну а писать и говорить на русском не все ли равно как, Вон или Воган?
Честно говоря нам хватило поездки в этот самый милс. Там с размерами все тип-топ, даже и ехать никуда не хочется в другое место. Тем более, что туда ходит бесплатный бас от Юниона. Вот по времени конечно мало дается, часа 3.5 не больше на все про все, хватает буквально четверть отделов и по верхам обойти.
виктор, не пойти ли вам сударь на юга толкать свои поцреотические взгляды кому-нибудь другому. Чесслово как дресированный пудель с рефлексом на ключевое слово "роисся".
В вондерленде еще ни разу не были, хотя уже второе лето в Торонто, все как то лень
Мы ездили в воскресенье раз, многие отделы начали работать только в 11, в будний день как я понял с 10(или с открытия магазина?). Народу я бы сказал не то, что больше, там на кассах и примерочных после 12 тихий ужас. Фуд корт порадовал, кроме макдака и кфс есть достойные альтернативы перекусить.
"Ну явно опечатка", троллите?) Если нет, то по этому поводу есть весьма древний мем под названием Роисся вперде!
Я думал, что опечатка
Канадский ленивец, а Вы можете только из за бугра так про Россию лаять?
Или когда в России жили тоже так говорили?
это хорошо когда админы еще имеют хоть какое то представление о безопасности что дают разрешение на поиск уязвимостей, но, бывают такие что хоть стой хоть падай...
На первом месте у меня в послужном списке стоит сайт правительства по Ленинградской области- я, даже, не стал взламывать его а лишь ввел в google запрос: "login|logon" site:lenobl.ru
В результате я наткнулся на список дирректорий где можно, даже, исходники читать.
Второе место заслужил не такой уж и популярный сайт MedPortal.ru, там админы не догадались сделать проверку строки поиска на вводимые символы. Результат- возможность XSS- атаки.
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
