Rupay Bank. Le danger des champs cachés, les problèmes et la protection
-------------------------------------------------- -----------------
| 10.09.2004 | écrit par Durito // lwb57 |
| e-mail: Durito [at] mail [dot] ru | contacter: www.lwb57.org |
-------------------------------------------------- -----------------
| = - | Rupay Bank. Le danger des champs cachés, des problèmes et protection | - = |
-------------------------------------------------- -----------------
Tout ce qui précède ont été signalés aux administrateurs rupay.ru, mais comme
Il est habituellement les a laissés sans surveillance.
Rupay bancaire en plus qui est l'un des services sur
conversion des différentes monnaies électroniques, propose également son
les utilisateurs du système d'acceptation de paiement pour les détaillants en ligne.
Le système est très simple, seulement besoin d'insérer le suivant
html-code sur son shope:
ID - ID du site (vous pouvez voir ci-dessus à gauche de
le nom de votre site)
SOMME - somme en USD, qui sera crédité sur votre compte, l'acheteur
seront émis au montant de monnaie choisie lui basé sur la Commission
Système de paiement
name_service - une brève description des marchandises
order_id - le numéro de commande (vous pouvez insérer dans ce champ interne
grâce à son magasin pour une identification supplémentaire du paiement)
Nous pouvons voir que le prix du produit, sa description et le numéro de commande sont transférés au
champs cachés. Bien sûr, il serait possible de le faire changer immédiatement
prix, mais de le faire, les utilisateurs dont shop'y soutenus Rupay peu probable
ajustement. La manipulation du prix des biens sont détenus dans les grands magasins,
dans notre cas, le produit est habituellement le morceau, et les volumes de négociation
pas super. Et si le site d'administration qui vend un produit pour 100 $
recevoir comme un paiement de 5 $ (avec des quantités de moins de 5 $ Rupay pas
travaux), il est peu probable que vous recevrez votre commande.
Le problème réside, à mon vzlyad dans un autre. En cas de rupture shop'a
travail à travers Rupay, un attaquant ne coûte rien à substituer
Boutique à l'identifiant de votre site et de calme pendant un certain temps
recevoir $ étrangers.
Protection contre similaire à plusieurs égards.
Le plus simple - est de construire votre magasin dans les cadres, dans ce cas,
afficher les pages shop'a code HTML, il sera difficile, mais possible.
Teleport programme télécharger site, et choisissez la page sur,
contenant code html Rupay, et appliquer directement à eux. Voici comment
il est possible de faire un exemple de mon site http://durito.narod.ru
---
Si vous ouvrez une page dans un magasin de cadre, puis le voir
html-code ne réussira pas. Mais si nous nous tournons directement
http://durito.narod.ru/shop.htm nous devenons ouverts sans cadres.
Si l'attaquant a accès au contenu sur le site ftp,
tout ce qui simplifié.
Une autre façon est de coder le html-code spécifique
programmes HTML GUARD, Secure Lock HTML.
Je pense que vous avez déjà ouvert http://durito.narod.ru/shop.htm, essayé
afficher le code, et voir le charabia complet.
Il trace de HTML GUARD, qui crypte les premières de sorte que même
si votre magasin dans les mains de l'attaquant, il ne pouvait pas réussir
Modifier le site identifiant de Rupay. Echappé avec seulement une légère
défigure.
+ ------------------------------------------------- ---------------- +
| Ñopyright 2002-2004 par l'équipe de sécurité LWB. |
+ ------------------------------------------------- ---------------- +
Commentaires
Commentant, gardez à l' esprit que le contenu et le ton de vos messages peuvent blesser les sentiments des gens réels, montrer du respect et de la tolérance à ses interlocuteurs, même si vous ne partagez pas leur avis, votre comportement en termes de liberté d'expression et de l' anonymat offert par Internet, est en train de changer non seulement virtuel, mais dans le monde réel. Tous les commentaires sont cachés à l'index, le contrôle anti - spam.