Facile proies carde [0], ou l'effondrement de la boutique en ligne

= = -------------------------------------------
L'équipe de sécurité LWB
= = -------------------------------------------
-écrit par vlb4g & Durito
-e-mail: [email protected], [email protected]
-http: //www.lwbteam.org
-date: 12/06/2003
-Commentaires: Les informations sont fournies uniquement
pour examen et considéré,
comme un guide pour les administrateurs,
Cet article est pas
guide pour l'action.
Nous ne sommes pas responsables
dommages commis lecteurs
de cet article, et illégal
l'utilisation prévue
Informations de contact
= = -------------------------------------------

- = Facile proies carde [0], ou l'effondrement de la boutique internet = -

Au cours des dernières années, les achats en ligne pour l'utilisateur moyen
stayut service normal, le même que e-mail, mailing ou thématique
messagers. Surtout dans les pays étrangers, dont les habitants plus
tous commandera, par exemple, une caméra numérique ou un scanner par courrier shop'a,
vous allez faire du shopping dans un magasin simple. Pas cher, simple, rapide (en
Selon l'endroit où et ce que vous commandez) et, à première vue, fermement. mais
seulement à première vue.

Malheureusement, e-shop - un des éléments les plus vulnérables de e-commerce. Dont cette
vin, on ne peut répondre sans équivoque. À l'aide d'une vulnérabilité critique,
tout internaute peut accéder aux données de carte de crédit (en
Plus tard - pp).

Considérez l'histoire de la nature tragique de la norme:
Le Web est la boutique en ligne vivante et florissante NN. Avec chaque passage jour augmente
le nombre d'utilisateurs réguliers, les bénéfices respectivement en hausse. rien
auguré ennuis ... Mais un personnage mineur apparaît sur la scène, par exemple,
Nom de famille $ A. Il a appris une nouvelle vulnérabilité dans le moteur, qui utilise
notre boutique en ligne NN. $ A obtient l'accès aux bases de données, qui sont disponibles cc.
Résultat: ss $ utilise pour des intérêts personnels ou, pire, fournit
sa large gamme d'autres utilisateurs. Et ce qui va arriver à notre
magasiner NN? L'autorité commence brusquement disparaître, ancien permanent
Les clients refusent les services NN à la recherche d'une alternative. La confiance dans
stocker tous petits et plus petits ... L'effondrement financier e-shop'a NN. Tout.
Final. Fin.

Voilà ce qui peut provoquer la vulnérabilité du moteur dans la boutique Internet. Hélas, comme
sort attend beaucoup plus de magasins.
En fait, $ A n'a pas eu beaucoup d'action, ils sont faciles, pas
exiger des compétences ou des connaissances particulières. Exemple l'activité parfaite:
--- ... Comme vous le savez, la vulnérabilité a été trouvée au début de Décembre 2003,
Alabanza AlaCart Panier (ci-après simplement AlaCart). Selon des sources officielles, la version vulnérable 1.0 ('99) loin de l'application.
$ A peut produire sql-injection, au moyen duquel il peut être
Administrateur e-shop'a.
Comme il a l'air pour les magasins avec l'application établie AlaCart?
Une caractéristique distinctive est la disponibilité d'un répertoire / s-cart /. Puis il va
à la page http://www.victim.com/s-cart/admin/index.phtml. Pour obtenir l'autorisation
introduit les données suivantes:
login: 'ou' '='
mot de passe: 'ou' '='
Autorisation a été couronnée de succès. Allez à commandes> Traitement et prend tout cc,
mais ils sont sans cvv2.
--- Vous pouvez également modifier l'e-mail qui sera envoyé notification
transactions. Membury Durito notre équipe, il a été constaté que cette
Il existe une vulnérabilité dans les versions AlaCart => 2.17. Chaque demande ultérieure
vous devez passer l'autorisation.
Au lieu d'un épilogue.
Les magasins en ligne existeront. Peut-être une fois qu'ils remplacent pleinement
magasins ordinaires. La vie nous le dira ... Mais le fait demeure que aujourd'hui tout
un magasin en ligne peut faire confiance à cent pour cent.

Droit d'auteur 2002-2003 par l'équipe de sécurité LWB. Tous droits réservés.