הרשם שאלות ותשובות רשימת חברים לוח שנה חיפוש הודעות מהיום סמן פורומים כנקראו

   
|!|

השב
 
כלים לאשכול תצורת הצגה
ישן 16-05-13, 11:05   # 1
Steve-Web
חבר מתקדם
 
מיני פרופיל
תאריך הצטרפות: Nov 2011
הודעות: 653

Steve-Web לא מחובר  

פירצה ב PAYPAL בכל מקום!

אהלן ,
לא יודע כלכך מי מכיר אותי מי פחות ..
אני עוסק כבר המון זמן בפיתוח אתרים החל ממערכת CMS שבעבר פיתחתי חצי שנה שכוללת PAYPAL ועד לוורדפרסים ומערכות מוכנות בשילוב PAYPAL .
במהלך ההתעסקות שלי איתם (וגם עכשיו) אני לומד המון על אבטחת מידע , בייפאסינג , אבטחת SQLI מהמון סוגים DDOS מ 3 סוגים ועוד הרבה ....
יצא לי לראות המון אתרים ומערכות אוטומטיות שעובדות עם PAYPAL , 90 אחוז מהאתרים האלה לא מאובטחים והתקשרות עם PAYPAL לא מאובטחת בכלל ,
אתן דוגמא , כחלק מפרוייקט עזרה לאתרים כאלה , לקחתי כ 30 אתרים ישראלים שעובדים עם פייפאל ואלה התוצאות :

28 אתרים פריצים
2 עובדים בצורה מאובטחת עם פייפאל (החיסרון שלהם שהם מוגבלים בערכים שניתן לשלוח אל הפייפאל)

מזה אומר פריצים ?
נניח שאני רוצה לקנות בושם , אני יוצר לי רשימת בשמים בסל קניות מגיע לקופה , נרשם , כותב את כל הפרטים שלי , ובסופו של דבר מגיע הרגע , ההתקשרות עם פייפאל , פייפאל עונה עם הנתונים שהתקבלו , יוצר לי חשבונית , בסיום התשלום אני מוחזר לדף שהאתר עצמו שלח ביחד עם הנתונים עוד בהתחלה ובכך נגמר כל ההליך עם פייפאל .

מה אני מצאתי ?
ברגע שהאתר עצמו שולח את החשבונית לתשלום הפייפאל כמו שציינתי הוא שולח גם את הדף שתוחזר במידה והתשלום יבוצע או במידה והתשלום יבוטל לדף אחר .
אז הכתובות האלה מוצפנות קצת אבל לא רציני בכלל , כל מי שקצת מבין יוכל לראות את זה ולהבין ישר ולהשיג את הכתובת שמוחזר אם עבר ואת הכתובת אם בוטל התשלום .
עכשיו יש בערך 10 אתרים מתוך ה 28 הפריצים שבודקים בסיום התשלום במערכת שלהם האם החשבונית (מספר ה ID של העסקה של הפייפאל) שולם באמת , פה מתחילה קצת בעיה אבל לאחר ממש כמה דקות גם אותה פרצתי כך:
בעת השליחת נתונים השארתי את אותו ID של העברה, אותם פריטים בחשבונית אך שינוי בסכום התשלום לצורך הדוגמא ל 4 אגורות (אי אפשר פחות) ואז ביצוע התשלום , אני אכן משלם 4 אגורות אמיתיות אך לאחר מכן התשלום מוצג כבוצע בהצלחה , הפייפאל בעצמו הפעם החזיר אותי לעמוד של ביצוע תשלום כראוי וכל נראה כתקין .
היום במערכות האוטומטיות אין דרך לעלות על זה מלבד לבדוק על העברה בצורה ידנית מה שאני בטוח שהרבה חברות לא עושות את זה , אומנם כן בודקות את הפייפאל אך נניח שאני משלם 20 שח נראה בפייפאל מספר פריט : 221 לדוגמא , עך סך 20 שח , שיש להם מוצרים באתר על 20 שח לדוגמא מגן מסך כאשר אני בעצמי הזמנתי מכשיר פלאפון מתקדם ושלמתי רק 20 שם .
בכל מקרה מה שאני בא להגיד פה שיש המון אתרים עם בעיות .

מה שהכי משגע אותי שהבעלים של האתרים שאני מתקשר להתריע להם פשוט מתעלמים וממשיכים ובטוחים שזה לא יגיע אליהם .


משהו אחרון ששכחתי לציין האתרים שלא פגיעים הם אתרים שיוצרים את החשבונית באתר עצמו ובעזרת PHP שולחים לפייפאל את התשלום בצורה מאובטחת של 128 SSL ובהצפנה ואז פייפאל מחזיר להם TOKEN של התשלום והם מעבירים אותך רק לעמוד התשלום עם אותו TOKEN , מה שפה מצאתי גם באגים זה במערכות שיוצרות את הסכום ומציירות את ה TOKEN , גם אותם ניתן למות בקלות .


אם כבר אז רציתי להעלות פה את הדיון הזה ולראות מה אתם חושבים שניתן לעשות ?
להשאיר את זה ככה ?

מי שרוצה את הדרכים המלאות בפרטי או שהמנהלים יתירו גישה רק למשתמשי האתר ואז אוכל לפרסם את זה נורמאלי כמו במקור שכתבתי את זה .
__________________
www.kyd.co.il,www.shiromika-lambretta.com, www.notary-attorney.co.il,www.bitilan1.com, http://funjoy.co.il/,http://djyanivo.com,
http://פסולתאלקטרונית.com/ , http://shiromika.com/, ועוד. עוסק המון בתחום אבטחת אתרים.בעלים של חברת Steve-Web ומתכנת ראשי.מתקן ומשדרג אתרים קיימים.ליצירת קשר. 0526974757-עדן.

Last edited by Steve-Web; 16-05-13 at 11:11.. סיבה: שינוי כותרת
  Reply With Quote
ישן 16-05-13, 12:03   # 2
toron
חבר בקהילה
 
מיני פרופיל
תאריך הצטרפות: Oct 2009
הודעות: 302

toron לא מחובר  

מעניין מאוד, תודה.
האם רק בעלי האתרים נפגעים מכך או שישנה סכנה גם למשתמשים?
  Reply With Quote
ישן 16-05-13, 12:19   # 3
Steve-Web
חבר מתקדם
 
מיני פרופיל
תאריך הצטרפות: Nov 2011
הודעות: 653

Steve-Web לא מחובר  

בעיקרון המשתמש (אני) זה שמבצע את הפריצה יכול לעשות שם מה שאני רוצה , כדי לפגוע בשאר המשתמשים אני כבר צריך לפרוץ לאתר עצמו, זה כבר נושא אחר לגמרי שגם הוא אפשרי אבל זה כבר לחנך את כל הישראלים מה שבלתי אפשרי - הישראלי אוהב זול .
__________________
www.kyd.co.il,www.shiromika-lambretta.com, www.notary-attorney.co.il,www.bitilan1.com, http://funjoy.co.il/,http://djyanivo.com,
http://פסולתאלקטרונית.com/ , http://shiromika.com/, ועוד. עוסק המון בתחום אבטחת אתרים.בעלים של חברת Steve-Web ומתכנת ראשי.מתקן ומשדרג אתרים קיימים.ליצירת קשר. 0526974757-עדן.
  Reply With Quote
ישן 16-05-13, 12:19   # 4
Ori The Man
משתמש - היכל התהילה
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: חיפה
גיל: 33
הודעות: 3,694
שלח הודעה באמצעות MSN אל Ori The Man Send a message via Skype™ to Ori The Man

Ori The Man לא מחובר  

מעניין ומסוכן!
מה לדעתך הדרך הכי טובה להתגונן בפני זה?
  Reply With Quote
ישן 16-05-13, 15:50   # 5
Steve-Web
חבר מתקדם
 
מיני פרופיל
תאריך הצטרפות: Nov 2011
הודעות: 653

Steve-Web לא מחובר  

בהחלט מסוכן ,
הדרך הכי טובה לפי דעתי היא הצפנת המשתנים בהצפנה מסוג מסויים שלא נראה קל לזיהוי - ובעיקר את ה AMOUNT , כמו כן מי שמבין לעומק בפייפאל יוכל להטמיע כל הצפנה שלו ויוכל ללמד את פייפאל את ההצפנה שלו בקלות . (אלגוריתם קצר)
בכל מקרה , השיטה הכי טובה היא לעבוד כרגע עם TOKEN על מנת שלא יוכלו לגעת במשתנים שאתה שולח לפייפאל, אומנם זה דורש יותר עבודת שרת פנימית אבל זה בהחלט שווה את זה .
בנוסף , אני כרגע עובד על מערכת להגנה מפני הדבר הזה שבעצם תוודא ה ID של העסקה תאומת על סך התשלום שבוצעה לאחר כל רכישה וככה לא יהיו בעיות כאלה . (זה לא פשוט בכלל כשפייפאל מגבילים אותך בזה)
__________________
www.kyd.co.il,www.shiromika-lambretta.com, www.notary-attorney.co.il,www.bitilan1.com, http://funjoy.co.il/,http://djyanivo.com,
http://פסולתאלקטרונית.com/ , http://shiromika.com/, ועוד. עוסק המון בתחום אבטחת אתרים.בעלים של חברת Steve-Web ומתכנת ראשי.מתקן ומשדרג אתרים קיימים.ליצירת קשר. 0526974757-עדן.
  Reply With Quote
ישן 16-05-13, 16:46   # 6
Ori The Man
משתמש - היכל התהילה
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: חיפה
גיל: 33
הודעות: 3,694
שלח הודעה באמצעות MSN אל Ori The Man Send a message via Skype™ to Ori The Man

Ori The Man לא מחובר  

ידוע לך אם הפירצה תופסת גם בתוסף woocommerce בוורדפרס?
  Reply With Quote
ישן 16-05-13, 16:56   # 7
WCMS
חבר מתקדם
 
מיני פרופיל
תאריך הצטרפות: May 2007
הודעות: 629

WCMS לא מחובר  

בגלל זה צריך להשתמש באימות מול פייפל דרך IPN או עם Express Checkout.
  Reply With Quote
ישן 16-05-13, 17:00   # 8
Maor|Short.co.il
עסק רשום [?]
 
מיני פרופיל
תאריך הצטרפות: Dec 2006
מיקום: שדרות
גיל: 37
הודעות: 69

Maor|Short.co.il לא מחובר  

וואו מידע מאוד חשוב, תודה רבה!

עכשיו הבנתי מדוע אמרת שלמרות הפירצה אני עדיין מאובטח - כי אני מבצע את הפעולות באופן ידני.

האם התרעת בפני PAYPAL עצמה על הפירצה ולא רק בפני בעלי האתרים?
__________________

לעניין - סטודיו לעיצוב גרפי ופתרונות דפוס
www.lainyan.biz
  Reply With Quote
ישן 16-05-13, 17:28   # 9
Steve-Web
חבר מתקדם
 
מיני פרופיל
תאריך הצטרפות: Nov 2011
הודעות: 653

Steve-Web לא מחובר  

אורי אני יבדוק ויעדכן .
WCMS אני אישית בדקתי על כמה אתרים כאלו שגם בהם יש הרבה באגים שמאפשרים את אותה בעיה .
עוד לא התרעתי בפני פייפאל מכיוון שאני עוד לא סיימתי לפתח לזה פתרון בעצמי . ואני בטוח שהם מודעים לזה באיזשהו שלב .
בכל מקרה יש עוד המון בעיות שמצאתי עם פייפאל ועוד שיטות של פריצה וניצול חולשות כאלו שלא פירטתי כאן מכיוון שזה יהווה סכנה אמיתית .
__________________
www.kyd.co.il,www.shiromika-lambretta.com, www.notary-attorney.co.il,www.bitilan1.com, http://funjoy.co.il/,http://djyanivo.com,
http://פסולתאלקטרונית.com/ , http://shiromika.com/, ועוד. עוסק המון בתחום אבטחת אתרים.בעלים של חברת Steve-Web ומתכנת ראשי.מתקן ומשדרג אתרים קיימים.ליצירת קשר. 0526974757-עדן.
  Reply With Quote
ישן 16-05-13, 17:50   # 10
Ori The Man
משתמש - היכל התהילה
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: חיפה
גיל: 33
הודעות: 3,694
שלח הודעה באמצעות MSN אל Ori The Man Send a message via Skype™ to Ori The Man

Ori The Man לא מחובר  

בעיקרון איפה החור? אצל זה שמטמיע את פייפאל באתר שלו, ודואג להעברת נתונים בצורה לקויה? או שפייפאל בכלל דורשת להעביר את הנתונים ככה
  Reply With Quote
השב

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)
 

כלים לאשכול
תצורת הצגה

חוקי פירסום
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is מופעל
סמיילים הם מופעל
[IMG] קוד מופעל
קוד HTML מכובה

קפיצה לפורום


כל הזמנים הם GMT +2. הזמן כעת הוא 11:19.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ