Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 29
Думаю, теперь эту лавочку прикроют с сногсшибательной скоростью.
Вконтакте может и прикроют, но представьте сколько сайтов, подключенных к Мастер Банку придется перевести на новую версию протокола
нисколько, достаточно со стороны мастербанка проверять откуда пришел запрос на платеж.
urlrefferer можно подменить
как вариант.подтягивать инфо о покупке и названии сайта не из POST а из базы, куда эта информация прежде попадает по server-to-server
как вариант.подтягивать инфо о покупке и названии сайта не из POST а из базы, куда эта информация прежде попадает по server-to-server
это делается не по рефереру, каждому клиенту генерируется секретный ключ, с помощью ключа клиент подписывают каждый запрос (как правило обычным MD5 от данных запроса плюс ключ), а на стороне банка подпись проверяется ибо ключ банку известен
главное, чтобы в ключ входило назначение платежа и название сайта, иначе можно с тем же успехом можно заранее нагенерировать ключей из своего аккаунта на произвольную сумму
Уязвимости надо публиковать не после уведомления о их существовании, а после их устранения.
недели срыва покровов с уязвимостей на Хабре! Ням!
Пользуясь этим, потенциальный мошенник может создать сайт, на котором он предлагает некоторые услуги, возьмем например пополнение счета мобильного телефона. Мошенник заранее генерирует запросы на оплату картой из своего аккаунта Вконтакте, имея тем самым набор валидных значений ORDER.
Я правильно понимаю, что если я сделаю «левую» страницу и попрошу пользователя ввести туда данные своей кредитки (как раз такая страничка недавно в спам свалилась) — это назовут «фундаментальная уязвимость, связанная с оплатой банковскими картами»? Тем более, если вы в курсе, как работает процессинг карт, незадачливому пользователю вернут деньги по первому же стуку в банк-эмитент карты, а у «мошенника» не только отберут все незаконно нажитые голоса вконтакте, но и закроют в местах не столь отдалённых на пару лет.
Так что я сильно сомневаюсь, что это даже уязвимостью можно назвать. В PayPal, например, можно точно так же отправить на страницу, где будет написано «Пополнение счёта МТС», висеть логотип МТС, но при этом деньги будут зачисляться на совершенно другой счёт.
нет, вы ничего не поняли
Клиент вводит реквизиты карты на стороне Мастер Банка, а не на фишинговой странице. В paypal нельзя подменить назначение платежа и название торговца. Если вы регистрируетесь в paypal и делаете фишинговый сайт — вас блокируют. А здесь кого заблокирует банк? Вконтакте? Вконтакт может заблокировать аккаунт, но никто не мешает открыть новый. И так до бесконечности, пока Вконтакт не наберется чарджбеков и Visa или MasterCard не потребуют от Мастер Банка закрыть этот мерчант.
Клиент вводит реквизиты карты на стороне Мастер Банка, а не на фишинговой странице.
А каким образом клиент попадёт на страницу ввода реквизитов карты на стороне МастерБанка? Случайно не через фишинговую страницу? Я таким же образом смогу отправить вас переводить мне деньги через какой-нибудь Chronopay.
В paypal нельзя подменить назначение платежа и название торговца.
Назначение платежа как раз подменить можно, оно передаётся в виде параметра item_name.
А здесь кого заблокирует банк? Вконтакте?
При чём тут Вконтакте? Вы прочитайте ещё раз своё же описание этой «уязвимости»:
… потенциальный мошенник может создать сайт, на котором он предлагает некоторые услуги, возьмем например пополнение счета мобильного телефона.
Всё, после этих слов дальше можно не читать — это не уязвимость в протоколе и даже не фишинг, а банальная разводка пользователя: сказать, что предоставляешь какие-то услуги, списать деньги и не выполнить свои обязательства. Причём целью мошенника являются не деньги, которые он может ещё успеть перевести через десятки подставных счетов, а голоса вконтакте. Наверно, ради них действительно стоит совершить уголовное преступление.
проблема не высосана из пальца, вы не поверите, но такой прецедент был уже у одного банка на заре предоставления услуги интернет-эквайринга, а достаточно было просто шифровать назначение платежа как пишет Goblink выше.
Проблема как раз высосана из пальца. PayPal не шифрует назначение платежа — значит, это тоже «великолепная уязвимость, связанная с оплатой банковскими картами»? Как же они живут с этим столько лет?
У меня были прецеденты, когда пользователи вместо 150 рублей платили 150$ через PayPal, при том, что шаг с проверкой данных о платеже является обязательным и эта цифра в явном виде выводилась на экран. Так что пользователи далеко не всегда обращают внимание на то, что пишется в инвойсе. Или это тоже можно назвать уязвимостью, когда сайт называет одну сумму, а инвойс выставляется на другую?
У меня были прецеденты, когда пользователи вместо 150 рублей платили 150$ через PayPal, при том, что шаг с проверкой данных о платеже является обязательным и эта цифра в явном виде выводилась на экран. Так что пользователи далеко не всегда обращают внимание на то, что пишется в инвойсе. Или это тоже можно назвать уязвимостью, когда сайт называет одну сумму, а инвойс выставляется на другую?
Интересно — сколько народу успело воспользоваться такой лазейкой?)
Реально, ВКонтакте становится такой же черной дырой как и другие В…
Если раньше краденные с карт деньги пытались слить в другие системы, то теперь в контакт.
Если раньше краденные с карт деньги пытались слить в другие системы, то теперь в контакт.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вконтакте и Мастер Банк преподнесли мошенникам на блюдечке великолепную уязвимость, связанную с оплатой банковскими картами