Обнаружен ряд
серьезных уязвимостей в программном пакете PHP Toolkit for PayPal v0.50,
предназначенном для организации электронной торговли на веб-сайте с
использованием платежной системы PayPal.

Благодаря найденной уязвимости, злоумышленник может обойти систему платежа на
PayPal.com и произвести прямую запись об успешном платеже в протокол платежей на
веб-сайте. Для этого необходимо вызвать скрипт "ipn_success.php" со специально
сгенерированным POST запросом.

Вторая обнаруженная уязвимость, заключается в возможности удаленного просмотра
протокола платежей — "../ipn/logs/ipn_success.txt" любым пользователем, что
приводит к утечке очень важной информации о пользователях системы, в том числе и
номерах их кредитных карт. Это стало возможным из-за того, что запись лога
производится в общедоступное место, к тому же в сопроводительной документации
разработчики программного пакета PHP Toolkit for PayPal рекомендуют установить
атрибуты доступа папки "../ipn/logs/" как 777.

Источник: http://www.uinc.ru/news/

 



Оставить мнение