Eshopy, POZOR na Platobné brány.

Platobné brány čelia problému. Za rovnakú sumu kúpite 10-krát viac tovaru

Absencia overenia kontrolného súčtu umožňuje nakupujúcim zaplatiť za tovar rádovo menšie sumy.

PayU je platobný systém, ktorý do istej miery konkuruje PayPalu a umožňuje platby pomocou kreditných kariet a rýchlych prevodov jednotlivých bánk. Paul Tomkiel na svojom webe odhalil postup,umožňujúci zákazníkom sfalšovať počet kusov zakúpeného tovaru.

Postup (zverejnený pod licenciou CC-BY-SA, umožňujúcou voľné zdieľanie a úpravu diela pod podmienkou uvedenia autora a zachovania licencie v odvodených dielach) opisuje jednoduchú zmenu odosielaného formulára. Práve z neho je spoločne s privátnym kľúčom generovaný kontrolný súčet na overenie odosielaných údajov.

Najlepšie to vysvetlí nasledujúci príklad autora, ktorý si objednal jeden kus svojej knihy. Všetky potrebné údaje z formulára sú odoslané a spojené do jedného textového reťazca:

Reťazec môže v tomto prípade vyzerať takto: PLN127.0.0.1CodeL10n PayU hack145227Best Localization Tips from CodeL10n hardbook198509850.
Pri čítaní zľava obsahuje údaje o mene, IP adrese zákazníka, popis tovaru, identifikátor objednávky, počet objednaného tovaru (1 kus) a cenu (98,50). Posledné štvorčíslie je potom celkový súčet.

K tomuto reťazcu sa pripojí privátny kľúč a vygenerovaný kontrolný súčet. Pokiaľ by sa niekto pokúsil zmeniť ktorýkoľvek údaj vo formulári, výsledný hash by nesedel a platba by nebola zrealizovaná.

Fatálna chyba pri overení

V prípade PayU však existuje cesta umožňujúca zmeniť parametre objednávky a dostať rovnaký kontrolný súčet. Stačí zmeniť atribút odoslaného formulára, v ktorých namiesto jednej knihy za 98,50 nakupujúci objedná 19 kníh za 8,50.

Reťazec použitý pre vygenerovanie hashu ostane rovnaký a objednávka bude platná. PayU totiž nijako neoveruje, či sa súčet zhoduje s násobkom počtu kusov a cenou za jeden kus.

K oprave zatiaľ nedošlo

Paul Tomkien dostal v priebehu decembra 2015 potvrdenie z PayU o plánovanom rýchlom vyriešení problému. Zneužitie je však možné aj naďalej, čo si môžete vyskúšať na testovacom formulári.
Podľa slov Egora Homakova z bezpečnostnej spoločnosti Sakurity spomínanou chybou netrpí iba PayU. Rovnaká zraniteľnosť sa prejavuje aj pri systémoch LiqPay a WalletOne.

Zdroj: zive.sk | autor: Stanislav Janů
Celý článok si môžete prečítať tu: Platobné brány čelia problému. Za rovnakú sumu kúpite 10-krát viac tovaru.

 
Hore
 

Komentáre