[Перевод] Amazon работает над ошибками

Original author: Steve Chaplin-Indiana
  • Translation
Группа исследователей провели практическую атаку на крупнейшие сайты интернет-торговли, которые используют внешние системы приема платежей, для получения товаров бесплатно или по ими установленной цене.

«Дыра» в безопасности при обработке онлайн-платежей позволила им приобрести электронику, DVD, электронную подписку на периодику, средства гигиены и другие продукты по ценам, которые они сами себе установили. Исследователи проинформировали соответствующие магазины о найденной бреши в безопасности и помогли её исправить. (Источник: Университет Индианы, Indiana University)

В некоторых случаях им удалось убедить интернет-магазины, что они оплатили покупку через внешний сервис платежей (cashier-as-a-service, CaaS) Amazon Payment, тогда как заплатили на собственный коммерческий счёт в Amazon. Исследователи планируют представить подробности в мае [2011 года] на Симпозиуме по безопасности и приватности в г.Окленд, Калифорния, под эгидой Электроинженерного Института (Institute of Electrical and Electronics Engineers).

Ведущие коммерческие приложения NopCommerce и Interspire, провайдеры внешних сервисов платежей, такие как Amazon Payments, и некоторые популярные торговые интернет-площадки имеют серьёзные недостатки в логике обработки данных. Это позволяет злоумышленникам воспользоваться несоответствием при передаче статусов платежей между торговыми площадками и внешними сервисами платежей (Amazon Payments, PayPal и Google Checkout).

В каждом упомянутом случае исследователи проинформировали о найденных уязвимостях затронутые стороны, вернули неправомерно полученные товары и проконсультировали сервисы о сути найденных ошибок и способах их исправления.
«Мы считаем, что при работе с внешними сервисами платежей очень сложно удостовериться в отсутствии злоумышленника, который может воспользоваться найденными уязвимостями», —
сообщил XiaoFeng Wang, со-автор исследования и профессор информатики и компьютерной техники Университета Индианы.

«Кроме того, трёхзвенное взаимодействие (между торговым приложением, онлайн-магазином и внешним сервисом платежей) сложнее по сравнению с двухзвенным между браузером и сервером, поэтому в нем обнаруживаются коварные логические ошибки.»

По словам исследователей, большинство уязвимостей найдены в торговых приложениях, но часть ответственности лежит и на внешних сервисах платежей. В одном из случаев обнаружилась уязвимость в Amazon Payments’ SDK, что заставило компанию серьёзно изменить способ проверки уведомлений об оплате.

Как сказано в отчете, предварительное исследование затронуло только простые трёхзвенные взаимодействия и не рассматривало варианты вовлечения других сторон, как аукционы и комплексные торговые площадки. Скорее всего, такие варианты ещё более уязвимы.

По словам ведущего автора данного исследования, аспиранта Rui Wang,
«Многозвенные веб-приложения потребуют дальнейших работ в области безопасности. Мы проанализировали сложные механизмы систем на основе внешних сервисов платежей и пришли к выводу, что вопросы безопасности должны подниматься на этапе разработки и тестирования таких систем. Мы считаем нашу работу первым шагом в новой области проблем безопасности гибридных веб-приложений».

Исследовательская группа, которая также включает Shuo Chen и Shaz Qadeer из Microsoft Research (Redmond, Washington), предполагает рассмотреть аналогичные уязвимости, при которых злоумышленник сможет сделать две покупки с большой разницей в цене, после чего вернуть более дешёвую, а возврат средств получить за более дорогую.

«Было бы интересно, если бы мы сделали заказ на $1 и на $10, отменили заказ на $1, а средства нам вернули за заказ на $10», —
добавляет Rui Wang.

В январе [2011 года] Rui Wang и XiaoFeng Wang, его научный руководитель, а также Shuo Chen, исследователь из Microsoft, были участниками исследовательской команды, которая нашла уязвимость в Facebook. Эта уязвимость позволяла сайтам-злоумышленникам получать и распространять персональные пользовательские данные. Позднее Facebook подтвердил и исправил найденные ошибки.
Share post

Comments 13

    +1
    Хотелось бы, конечно, чуть поближе к практике. Частые ошибки, как тестировать и как защищаться :-)
      +2
      Похоже, с практикой простого перевода оригинальных статей мне надо завязывать — авторам платят за объем, и они разбавляют смысл тонной воды, фамилий и лишних ссылок. В дальнейшем буду делать Перевод/Дайджест без воды — займет пару абзацев и будет полезнее.
      +1
      злоумышленник сможет сделать две покупки с большой разницей в цене, после чего вернуть более дешёвую, а возврат средств получить за более дорогую.
      Я вот не злоумышленник, но однажды у меня (случайно, чесслово!) вышло нечто похожее:

      Положил несколько товаров в корзину, которые вместе дали мне сумму, необходимую для получения бесплатной доставки. Потом нашёл, что один из товаров (самый дорогой из всех в наборе) стоит где-то дешевле. Отменил одну эту вещь, но скидка на доставку у них почему-то осталась (видимо, баг на сайте был). Обнаружил уже после оплаты.
        0
        У меня в магазине автоматом это не проходит, так народ заказывает все и со скидкой, а потом просит разрешения вернуть несколько позиций. После пересчета и добавления стоимости доставки становится неясно, кто кому должен… Обычно на этом все и завершается.
        0
        Отличные профессора в университете Индианы.
        Не знаю ни одного преподавателя ВУЗа в Москве, кто бы занимался чем-то настолько же интересным, полезным и требующим высокой квалификации. Хотя сложно представить более эффективный способ привлечь и мотивировать студентов и аспирантов…
          0
          Ну почему же… Недавно проскакивала на хабре статья про multitouch-стол на ВМиК МГУ. У меня знакомый разработал движок для экспертной системы (возможно, тоже сделаем на хабре статью), которая используется в Бауманке. Это не показатель, но просветы есть.
          +1
          Пару недель назад livingsocial (чтото типа групона) продавал $20 гифткарты на амазон за $10, один код в одни руки, фаербагом изменив (из интереса) количество с 1 на 10 (сумму не стал изменять) получил 10 гифткарт на сумму $200 за $100.

          Правильно говорят что любые данные отправленные клиентом нужно проверять…
            0
            Не понял, а где ошибка? Вы поставили 10 штук по $10, получилось $100, собственно так и должно быть. Вот если бы сумма не поменялась и осталась равной $10 — другое дело.
              0
              Количество увеличилось, а сумма осталась той же.
                0
                Нет, я решил не наглеть и оставить правильную сумму. Ошибка в том что они продавали одну карту в руки, больше нельзя было, даже с новым аккаунтом (проверка по имени, мылу, кредитке и тд), а тут за одну покупку получилось купить больше одной гифткарты…
              0
              недавно попробовал амазоновскую контекстную рекламу — весьма иррелевантно.
              в одних местах они называют это своё детище Omakase Links,
              в других Self-optimized links,
              в третьих — Contextual Ad Widget, у немцев ещё пара названий ;)

              репорты глючат, да и вообще бардак у них там «еще тот».
              пока терпим, приглядываемся.
                +3
                Суть вскрытых дыр на самом деле проста: проверяйте ВСЕ входящие данные. Особенно в платежных системах…
                  0
                  Вот эти ребята — настоящие хакеры. Вот бы еще СМИ перестали называть так каждого придурка, атакующего ЖЖ.

                  Only users with full accounts can post comments. Log in, please.