2000. február 3. 22:40, Csütörtök
Néhány online shop rendszerében olyan biztonsági rést fedeztek fel, amely lehetővé teszi az ügyeskedőknek, hogy olcsóbban vásároljanak, áll a biztonsági problémákkal foglalkozó ISS (Internet Security Systems) X-Force közleményében.
A bug lényege egyszerű: néhány rendszer a weblapon úgynevezett "hidden field"-eket, azaz rejtett mezőket használ az áruk paramétereinek a tárolására, például az árengedmények tárolására. A hackerek ezeket a weblapokat letöltötték, az árengedmény mezőt egy egyszerű szövegszerkesztővel kijavították, majd a lapot visszatöltve a böngészőbe a megrendelést elküldték. Ily módon az eredeti ár módosítása nélkül lehetővé vált olcsóbban vásárolni.
Az automatizált és nagy forgalmat bonyolító cégeknél a lebukás veszélye gyakorlatilag minimális, mivel az online shop-ok üzemeltetésénél az emberi tényező már csak a beszerzésnél, raktározásnál, csomagolásnál játszik szerepet, mivel a konkrét kereskedést, a megrendelések felvételét és feldolgozását a rendszer végzi.
Az X-Force továbbá talált olyan rendszereket is, ahol a vételárat az URL cím paramétereiben tárolták. Itt az URL-ben lévő számot egyszerűen megváltoztatva lehetett árengedményre szert tenni. A cég több online rendszert megvizsgált és ezek közül 11 hibásnak.
Kíváncsiságból megnéztem három legnépszerűbb magyar online áruházat, érzékenyek-e erre a problémára. A rendszerek nem tároltak sem URL-ben sem rejtett mezőkben információt, így nem támadhatóak, legalábbis ezzel a módszerrel.
Forrás:
The Register
X-Force
Informatika és tudomány