16-05-13, 11:05
|
# 1 |
|
חבר מתקדם
|
פירצה ב PAYPAL בכל מקום!
אהלן ,
לא יודע כלכך מי מכיר אותי מי פחות .. אני עוסק כבר המון זמן בפיתוח אתרים החל ממערכת CMS שבעבר פיתחתי חצי שנה שכוללת PAYPAL ועד לוורדפרסים ומערכות מוכנות בשילוב PAYPAL . במהלך ההתעסקות שלי איתם (וגם עכשיו) אני לומד המון על אבטחת מידע , בייפאסינג , אבטחת SQLI מהמון סוגים DDOS מ 3 סוגים ועוד הרבה .... יצא לי לראות המון אתרים ומערכות אוטומטיות שעובדות עם PAYPAL , 90 אחוז מהאתרים האלה לא מאובטחים והתקשרות עם PAYPAL לא מאובטחת בכלל , אתן דוגמא , כחלק מפרוייקט עזרה לאתרים כאלה , לקחתי כ 30 אתרים ישראלים שעובדים עם פייפאל ואלה התוצאות : 28 אתרים פריצים 2 עובדים בצורה מאובטחת עם פייפאל (החיסרון שלהם שהם מוגבלים בערכים שניתן לשלוח אל הפייפאל) מזה אומר פריצים ? נניח שאני רוצה לקנות בושם , אני יוצר לי רשימת בשמים בסל קניות מגיע לקופה , נרשם , כותב את כל הפרטים שלי , ובסופו של דבר מגיע הרגע , ההתקשרות עם פייפאל , פייפאל עונה עם הנתונים שהתקבלו , יוצר לי חשבונית , בסיום התשלום אני מוחזר לדף שהאתר עצמו שלח ביחד עם הנתונים עוד בהתחלה ובכך נגמר כל ההליך עם פייפאל . מה אני מצאתי ? ברגע שהאתר עצמו שולח את החשבונית לתשלום הפייפאל כמו שציינתי הוא שולח גם את הדף שתוחזר במידה והתשלום יבוצע או במידה והתשלום יבוטל לדף אחר . אז הכתובות האלה מוצפנות קצת אבל לא רציני בכלל , כל מי שקצת מבין יוכל לראות את זה ולהבין ישר ולהשיג את הכתובת שמוחזר אם עבר ואת הכתובת אם בוטל התשלום . עכשיו יש בערך 10 אתרים מתוך ה 28 הפריצים שבודקים בסיום התשלום במערכת שלהם האם החשבונית (מספר ה ID של העסקה של הפייפאל) שולם באמת , פה מתחילה קצת בעיה אבל לאחר ממש כמה דקות גם אותה פרצתי כך: בעת השליחת נתונים השארתי את אותו ID של העברה, אותם פריטים בחשבונית אך שינוי בסכום התשלום לצורך הדוגמא ל 4 אגורות (אי אפשר פחות) ואז ביצוע התשלום , אני אכן משלם 4 אגורות אמיתיות אך לאחר מכן התשלום מוצג כבוצע בהצלחה , הפייפאל בעצמו הפעם החזיר אותי לעמוד של ביצוע תשלום כראוי וכל נראה כתקין . היום במערכות האוטומטיות אין דרך לעלות על זה מלבד לבדוק על העברה בצורה ידנית מה שאני בטוח שהרבה חברות לא עושות את זה , אומנם כן בודקות את הפייפאל אך נניח שאני משלם 20 שח נראה בפייפאל מספר פריט : 221 לדוגמא , עך סך 20 שח , שיש להם מוצרים באתר על 20 שח לדוגמא מגן מסך כאשר אני בעצמי הזמנתי מכשיר פלאפון מתקדם ושלמתי רק 20 שם . בכל מקרה מה שאני בא להגיד פה שיש המון אתרים עם בעיות . מה שהכי משגע אותי שהבעלים של האתרים שאני מתקשר להתריע להם פשוט מתעלמים וממשיכים ובטוחים שזה לא יגיע אליהם . משהו אחרון ששכחתי לציין האתרים שלא פגיעים הם אתרים שיוצרים את החשבונית באתר עצמו ובעזרת PHP שולחים לפייפאל את התשלום בצורה מאובטחת של 128 SSL ובהצפנה ואז פייפאל מחזיר להם TOKEN של התשלום והם מעבירים אותך רק לעמוד התשלום עם אותו TOKEN , מה שפה מצאתי גם באגים זה במערכות שיוצרות את הסכום ומציירות את ה TOKEN , גם אותם ניתן למות בקלות . אם כבר אז רציתי להעלות פה את הדיון הזה ולראות מה אתם חושבים שניתן לעשות ? להשאיר את זה ככה ? מי שרוצה את הדרכים המלאות בפרטי או שהמנהלים יתירו גישה רק למשתמשי האתר ואז אוכל לפרסם את זה נורמאלי כמו במקור שכתבתי את זה .
__________________
www.kyd.co.il,www.shiromika-lambretta.com, www.notary-attorney.co.il,www.bitilan1.com, http://funjoy.co.il/,http://djyanivo.com, http://פסולתאלקטרונית.com/ , http://shiromika.com/, ועוד. עוסק המון בתחום אבטחת אתרים.בעלים של חברת Steve-Web ומתכנת ראשי.מתקן ומשדרג אתרים קיימים.ליצירת קשר. 0526974757-עדן. Last edited by Steve-Web; 16-05-13 at 11:11.. סיבה: שינוי כותרת |
|
| חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|
תצורת אשכולות