www.e-shop.ru - обычный магазин с
веб-интерфейсом :), так как оплата "электронными" деньгами в нем не
предусмотрена. Магазин занимается продажей околокомпьютерных товаров.
Одна из функций веб-интерфейса (а именно - распечатка квитанции для оплаты
банковским переводом) недостаточно защищена от просмотра чужих данных, что
может быть использовано для атаки с использованием социальной инженерии,
приводящей к перехвату заказанного товара другим лицом.
Ссылка вида http://www.e-shop.ru/actions/sber.asp?order=ID выводит квитанцию для оплаты банковского перевода, содержащую ФИО, почтовый
адрес и номер заказа. Вместо безопасной таблицы соответствий случайного ID и
номера заказа используется функция преобразования ID в номер заказа, которая
сопоставляет ID определенного вида номеру заказа. ID, не соответствующие
нужному виду, либо выводят пустую страницу вместо квитанции, либо происходит
внутренняя ошибка сервера.
Внутренняя структура функции преобразования неизвестна, но найден способ
обмануть функцию: ID вида EOF2xx5xxAxxBxxCxxDxxEx , где x - любая не-цифра,
в том числе собственно символ 'x',
преобразуется ею в заказ номер ABCDE. Подставляя вместо ABCDE числа, можно выяснить, какие заказы поступали в
последнее время, и перехватить их.
