- Apocalipsa dupa Nemessis
- Cand dorinta de afirmare depaseste granitele bunului simt – PaxNwo un leecher ordinar
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac?
- Experiment social II – andimoisescu.ro
- Pentru posteritate
- In curand…
- “Hot” de id-uri messenger
- Chiar ca sunteti retardati
- Ce nu se invata la scoala – Vendetta (6)
- Apocalipsa dupa Nemessis in (81 Visits)
- Ce servicii de mail folositi? in (27 Visits)
- This is the end in (23 Visits)
- Hackersblog.org is now blog.rstcenter.com in (17 Visits)
- Short news in (16 Visits)
- La multi ani România, la multi ani românilor in (15 Visits)
- Inca o pierdere de timp in (10 Visits)
- Azi este ziua userilor hackersblog.org in (10 Visits)
- Raportare vulnerabilitati in (8 Visits)
- Update in (7 Visits)
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac? in (228 Visits)
- Hi5.com coders read this in (28 Visits)
- SMS scam (1) in (21 Visits)
- Phishing Bancpost in (8 Visits)
- Dezinformare sau proasta informare? in (7 Visits)
- Si tentativele de phishing pot fi amuzante in (5 Visits)
- Phishing Raiffeisen cu atasament html in (4 Visits)
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta in (75 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (41 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (30 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (29 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (24 Visits)
- Virusi in clipuri video [how to] in (22 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (21 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (17 Visits)
- Yahoo! redirects - a big issue (with video) in (10 Visits)
- Ca musca in... in (9 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (123 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (72 Visits)
- Yahoo! epic fail - permanent xss unleashed in (69 Visits)
- Telegraph.co.uk hacked, sql injection in (52 Visits)
- RedTube.com ... The Free Sex Video Community in (42 Visits)
- Kaspersky Thailand hacked by TinKode in (37 Visits)
- Conquiztador Hacked Again in (32 Visits)
- Telegraph.co.uk hacked - when will they learn? in (29 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (27 Visits)
- Ziua userilor - sinu.utcluj.ro in (26 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (24 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (20 Visits)
- Digital Photocopiers Loaded With Secrets in (15 Visits)
- Hacker Uses XSS and Google Street View Data to Determine Physical Location in (12 Visits)
- OWASP Phishing demo in (7 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (7 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (6 Visits)
- Christopher "moot" Poole: The case for anonymity online in (6 Visits)
- Owasp5005 Part1 - New zero-day browser exploits - ClickJacking in (5 Visits)
- [Video] The History Of Hacking in (5 Visits)
- Se poate sparge parola de Yahoo? in (256 Visits)
- phpBB.ro hacked in (81 Visits)
- Cand dorinta de afirmare depaseste granitele bunului simt - PaxNwo un leecher ordinar in (47 Visits)
- Experiment social in (46 Visits)
- "Hot" de id-uri messenger in (39 Visits)
- Oare cum e pana la urma? in (39 Visits)
- Experiment social II - andimoisescu.ro in (37 Visits)
- Ce nu se invata la scoala – Vendetta (6) in (37 Visits)
- Concurs fara premii in (36 Visits)
- Forumul Andreei Balan spart in (32 Visits)
Posted on June 14th, 2009
Am citit aici un articol despre situatia magazinelor online din Romania. Mi-a atras atentia urmatorul rand:
nici un magazin din Romania nu stocheaza datele despre cartile de debit/credit pentru ca nu are de ce – procesarea platilor se face extern iar datele pot fi decat introduse de cumparator.
Eczista o problema. Daca procesarea platilor se face printr-un sistem extern dar formularul se afla pe paginile shop-ului, o vulnerabilitate ce ofera posibilitatea de modificare a datelor de pe serverul unde este shop-ul hostat ii poate permite unui atacator sa introduca inca un form in acel formular care ii va trimite si lui datele completate de catre clienti. Chiar si un SQL Injection permite in destule cazuri acces mare pe server asa ca nu e de glumit cu vulnerabilitatile antice dar intalnite la tot pasul.
Deci folosirea procesarii externe nu garanteaza neaparat securitatea datelor de pe card.
June 14th, 2009 at 11:27 am
Gresit. Formularul exista doar pe paginile procesatorului, peste o conexiune SSL. La procesator se trimit intr-un POST doar datele despre produsele din comanda, restul detaliilor despre plata se introduc doar la procesator.
June 14th, 2009 at 2:38 pm
Nu-i gresit deloc. Situatia poate sa difere de la caz la caz si tocmai din cauza asta exista la inceputul frazei mele cuvantul “daca”. In situatia data de tine intr-adevar devine mai greu sa capeti acces la datele clientului dar nu e imposibil. Iti pot exemplifica foarte usor.
1. Se da site-ul X care e shop online.
2. Procesarea se face prin site-ul Y.
3. Capeti acces la site-ul X
4.1. Schimbi linkul care duce catre pagina de procesare a site-ului Y, cu un link care duce catre o pagina de-a ta, unde este formularul tau. Asta va scurta foarte mult durata de viata a accesului tau pe site-ul X dar iti poate aduce cateva conturi ale clientilor.
Sau
4.2. Introduci chiar in formularul site-ului X campurile necesare pe care lumea le va completa cu voiosie. Pentru ca se afla pe paginile site-ului in care au deja destula incredere incat sa dea o comanda.
Pentru o veridicitate mai mare poti face ca la clickul pe submit sa ii apara un mic pop-up in care sa i se spuna ceva de genul “Va rugam sa completati si campul data expirarii”, dupa care va fi redirectionat catre pagina reala de procesare de pe site-ul Y. Majoritatea cumparatorilor vor considera ca au uitat sa completeze respectivul camp sau ca scriptul de pe site a avut o mica eroare.
Metoda asta va fi sesizata ceva mai greu de administratorul site-ului pentru ca oamenii vor introduce datele si pe pagina procesatorului iar vanzarile nu vor scadea.
5. Stai linistit in pat si astepti sa iti vina datele in mail pana cand cineva isi va da seama de problema.
Nu trebuie sa omitem nici ca sunt multe procesatoare externe (cam toate), care iti permit sa introduci tot formularul la tine pe site contra unei mici sume de bani. E o chestiune de timp pana Romania va folosi foarte mult serviciile de procesare din afara.
June 14th, 2009 at 6:08 pm
dar vedeti voi pentru procesare de carduri e nevoie de acel tert care sa o faca… nu se accepta ca fiecare site sa faca procesarea datelor. Si nu e doar la noi asa, e la toate siteurile straine.
Exemplu pe afara e authorize.net, iar la noi romcard.ro
June 14th, 2009 at 6:09 pm
uitasem sa precizez, ca la noi nu cred* ca exista impunere de standars, cum e PCI in America.
*zic cred deoarece nu am auzit nici unde de asa ceva.
June 14th, 2009 at 6:34 pm
@dblackshell – sunt site-uri din afara care isi proceseaza singuri comenzile si/sau pastreaza datele clientilor pe propriile servere. Or sa fie si la noi odata si odata.
June 15th, 2009 at 11:28 am
Legislatia romana nu permite procesarea de carduri pe situl tau. De asta tranzactia se face pe situri dedicate.
Este frauda, nu e vorba daca se poate sau nu face.
Cati dintre voi ati implementat plati cu cardul pe situri romanesti ? Nici un serviciu nu te lasa sa faci o tranzactie de card direct de pe situl tau.
June 15th, 2009 at 8:58 pm
va rog, hackuiti garsonieraluimaruta.ro/forum. apoi, puneti baza de date la liber.
June 23rd, 2009 at 1:31 am
ontopic:
@ovidiu:
1. Eu am implementat plata directa cu cardul direct pe site-ul firmei. Vezi paypal do-direct-payment. si conditiile in care se poate face acest lucru.
2. Nu este nici o frauda, este un simplu script care face “POST” la ei, iar in sistem la noi nu raman decat datele despre client (asta nu inseamna ca nu pot opri mai multe date sau nu se poate face ce a spus 2fingers.)
3. Ca idee, sunt multe posibilitati de a face 2fingers.
offtopic:
@boogie: Site-ul ala arata ca unul de curve la cate culori are. Mai bine pune mana pe carte.
June 23rd, 2009 at 1:32 am
( 3. Ca idee, sunt multe posibilitati de a face ce a spus 2fingers. )
Scuze, am scris incomplet.
June 23rd, 2009 at 8:33 am
PayPal nu este procesator de plati romanesc.