www.e-shop.ru — обычный магазин с
веб-интерфейсом :), так как оплата «электронными» деньгами в нем не
предусмотрена. Магазин занимается продажей околокомпьютерных товаров. 

Одна из функций веб-интерфейса (а именно — распечатка квитанции для оплаты
банковским переводом) недостаточно защищена от просмотра чужих данных, что
может быть использовано для атаки с использованием социальной инженерии,
приводящей к перехвату заказанного товара другим лицом.

Ссылка вида http://www.e-shop.ru/actions/sber.asp?order=ID выводит квитанцию для оплаты банковского перевода, содержащую ФИО, почтовый
адрес и номер заказа. Вместо безопасной таблицы соответствий случайного ID и
номера заказа используется функция преобразования ID в номер заказа, которая
сопоставляет ID определенного вида номеру заказа. ID, не соответствующие
нужному виду, либо выводят пустую страницу вместо квитанции, либо происходит
внутренняя ошибка сервера.

Внутренняя структура функции преобразования неизвестна, но найден способ
обмануть функцию: ID вида EOF2xx5xxAxxBxxCxxDxxEx , где x — любая не-цифра,
в том числе собственно символ ‘x’,
преобразуется ею в заказ номер ABCDE. Подставляя вместо ABCDE числа, можно выяснить, какие заказы поступали в
последнее время, и перехватить их.

Оставить мнение

Check Also

LUKS container vs Border Patrol Agent. Как уберечь свои данные, пересекая границу

Не секрет, что если ты собрался посетить такие страны как США или Великобританию то, прежд…