X-Force: хакеры отовариваются с большой скидкой

В системах сетевой торговли имеется серьезная "дыра", которая позволяет хакерам не просто ломать web-сайты, но и извлекать из взломов пользу - например, делать себе скидки при покупке товаров через Интернет. Об этом сообщила служба X-Force компании ISS (Internet Security Systems).

Согласно X-Force, дыра содержится в 11 приложениях так называемых "корзин покупателя". Это специальные программы, позволяющие посетителям электронных магазинов записывать на свой счет определенные товары.

HTML-формы данных программ содержат ряд скрытых полей, где записывается некоторая информация о товарах (название, вес, цена и т.п.). Эти данные не вводятся пользователем, а автоматически подставляются с помощью CGI-скрипта, когда посетитель электронного магазина кликает на название товара, добавляя его в свою корзину.

Однако оказывается, что эти данные (например, цену) можно легко подправить "вручную". В программах, о которых сообщает X-Force, не предусмотрено изменение этих параметров на стороне пользователя - поэтому не предусмотрена и проверка на этот счет. Не нужно быть даже хакером, чтобы подправить цену в форме перед отправкой - и тогда товар будет добавлен в корзину "со скидкой". Точно также можно сделать себе скидку в случае, если параметры покупки указываются в URL-адресе товара - тогда нужно просто подправить цену в этом адресе.

Поскольку сделки часто происходят в "реальном времени" (после передачи на сайт номера кредитной карточки покупка считается состоявшейся), электронные магазины могут быстро разориться на таких "дырах". Как сообщил директор X-Force Крис Роланд, пока ни один web-магазин не заявил в ISS о том, что был подвергнут ограблению таким способом. Однако, как считает Роланд, если дыра существует - ею уже наверняка пользуются. "Просто такие трюки нелегко отследить", - считает специалист.

Напомним также, что буквально неделю назад аналогичную дыру в "корзине покупателя" случайно обнаружил один из клиентов крупного онлайнового магазина Outpost.com. Он решил выяснить, что случится, если URL-адресе его "корзины", поменять цифры номера заказа, то есть попробовать попасть в "корзину" другого покупателя. Оказалось, что это возможно - измененный адрес привел его на эккаунт другого пользователя Outpost.com, где содержалась различная персональная информация. Как выяснилось теперь, тем же способом можно не только подглядывать в чужие "корзины", но и наполнять свою товарами по сниженным ценам.

Лента добра деактивирована.
Добро пожаловать в реальный мир.
Бонусы за ваши реакции на Lenta.ru
Как это работает?
Читайте
Погружайтесь в увлекательные статьи, новости и материалы на Lenta.ru
Оценивайте
Выражайте свои эмоции к материалам с помощью реакций
Получайте бонусы
Накапливайте их и обменивайте на скидки до 99%
Узнать больше