Банк Rupay. Небезпека прихованих полів, проблеми та захист

: [LwB Security Team - lwb57]:
-------------------------------------------------- -----------------
| 10.09.2004 | written by durito // lwb57 |
| e-mail: durito [at] mail [dot] ru | contact: www.lwb57.org |
-------------------------------------------------- -----------------
| = - | Банк Rupay. Небезпека прихованих полів, проблеми та захист | - = |
-------------------------------------------------- -----------------

Все вищевикладене було повідомлено адмінам rupay.ru, але як це
буває зазвичай, залишено ними без уваги.
Банк rupay крім того, що є одним із сервісів по
конвертації різних електронних валют, також пропонує своїм
користувачам систему прийому платежів для інтернет-магазинів.
Система дуже проста, потрібно всього лише вставити наступний
html-код на своєму shopе:




ID - ідентифікатор сайту (його Ви можете побачити вище, зліва від
назви Вашого сайту)
SUM - сума в USD, яка буде зарахована на Ваш рахунок, покупцеві
буде видаватися сума в обраній ним валюті з урахуванням комісії
платіжної системи
name_service - короткий опис товару
order_id - номер замовлення (Ви можете вставляти в це поле внутрішній
рахунок свого магазину для додаткової ідентифікації оплати)

Ми бачимо, що ціна товару, його опис і номер замовлення передаються в
прихованих полях. Звичайно можна було б відразу зайнятися зміною
ціни, але для цього користувачі, чиї shop'и підтримуються Rupay навряд чи
підійдуть. Маніпуляції ціною товару проходять на великих магазинах,
в нашому випадку товар, як правило, штучний, так і торговельні обороти
не великі. І якщо адмін сайту, який продає товар по 100 $
отримає в якості оплати 5 $ (з сумами менше 5 $ Rupay НЕ
працює), то навряд чи Ви отримаєте своє замовлення.

Проблема криється, на мій взляд, в іншому. У разі злому shop'а
працюючого через Rupay, зловмисникові нічого не варто підмінити
ідентифікатор сайту магазину на свій, і спокійно деякий час
отримувати чужі $.

Зашита від подібного можна декількома способами.
Найпростіше - це побудувати свій шоп на фреймах, в такому випадку
переглянути html-код сторінок shop'а буде складно, але можна.
Програмою Teleport завантажуєте сайт, а далі вибираєте сторінки,
містять html-код Rupay, і звертаєтеся безпосередньо до них. Ось як
це можна зробити на прикладі мого сайту http://durito.narod.ru
---
Якщо Ви відкриєте у розіграші сторінку shop, то переглянути її
html-код не вдасться. Але якщо звернутися безпосередньо
http://durito.narod.ru/shop.htm то станемо відкриється без фреймів.
Якщо ж у зловмисника є доступ до вмісту сайту по ftp,
то все спрощується.

Інший спосіб полягає в кодуванні html-коду спеціальними
програмами HTML GUARD, Secure HTML Lock.
Думаю Ви вже відкрили http://durito.narod.ru/shop.htm, намагалися
переглянути код, і побачили повну абракадабру.
Це сліди роботи HTML GUARD, який шифрує сирці так, що навіть
якщо Ваш shop виявився в руках зловмисника, йому ніяк не вдасться
змінити ідентифікатор сайту Rupay. Звільнитеся тільки легким
дефейси.

+ ------------------------------------------------- ---------------- +
| Сopyright 2002-2004 by LwB Security Team. |
+ ------------------------------------------------- ---------------- +