Loading....
- Hacker Uses XSS and Google Street View Data to Determine Physical Location
- CAnCAn te iubim, CA CA tine nu gasim. Superfete.cancan.ro e de rahat
- Deface (?!?) pe Cotidianul.ro
- Virusi in clipuri video [how to]
- Cyber-Bullying – palma parinteasca a noului mileniu
- Christopher “moot” Poole: The case for anonymity online
- Wtf Avira?
- Some old story about tagged.com
- Pwning cam girls for fun
- Tabloshit
Loading....
- Yahoo! again - XSS in Uncategorized (357 Visits)
- Yahoo! again - bad settings? in Uncategorized (252 Visits)
- Fanii nostri in Uncategorized (183 Visits)
- Frustrant in Uncategorized (146 Visits)
- La multi ani România, la multi ani românilor in Uncategorized (137 Visits)
- Weblog.ro - Shell via Local File Inclusion in Uncategorized (119 Visits)
- Yahoo! epic fail - permanent xss unleashed in Uncategorized (50 Visits)
- ... in Uncategorized (38 Visits)
- XSS Ownage - hi5 vs. Yahoo! + video in Uncategorized (2 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in Uncategorized (2 Visits)
- Hackersblog.org is now blog.rstcenter.com in (1770 Visits)
- O mica dar importanta precizare in (1371 Visits)
- Twitter in (805 Visits)
- This is the end in (777 Visits)
- Ce servicii de mail folositi? in (773 Visits)
- Un nou membru in (730 Visits)
- La multi ani România, la multi ani românilor in (718 Visits)
- Inca o pierdere de timp in (675 Visits)
- De reţinut in (634 Visits)
- Azi este ziua userilor hackersblog.org in (610 Visits)
- SMS scam (1) in (564 Visits)
- Dezinformare sau proasta informare? in (563 Visits)
- Hi5.com coders read this in (553 Visits)
- Phishing Raiffeisen cu atasament html in (516 Visits)
- Phishing Bancpost in (486 Visits)
- Si tentativele de phishing pot fi amuzante in (422 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (2707 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (2601 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (1143 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (1107 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (950 Visits)
- Virusi in clipuri video [how to] in (838 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (725 Visits)
- Yahoo! redirects - a big issue (with video) in (570 Visits)
- Internet vs. privacy (1) in (469 Visits)
- Ca musca in... in (435 Visits)
- RedTube.com ... The Free Sex Video Community in (12973 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (4921 Visits)
- libertatea.ro vulnerabil la (blind) sql injection in (2950 Visits)
- Pwning cam girls for fun in (2586 Visits)
- Telegraph.co.uk hacked, sql injection in (2547 Visits)
- Facebook hacked - sql injection in (2425 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (2406 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (1775 Visits)
- [Hacked]Bitdefender (Portugal) exposes sensitive customer data in (1744 Visits)
- Wtf Avira? in (1723 Visits)
- Christopher "moot" Poole: The case for anonymity online in (1495 Visits)
- Digital Photocopiers Loaded With Secrets in (1458 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (592 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (590 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (463 Visits)
- PRIVACY IS DEAD - GET OVER IT, Pt 01-34 (Recommended by Hackersblog ) in (396 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (379 Visits)
- [Video] The History Of Hacking in (373 Visits)
- Email Security - Why You Should Encrypt Your Email - Part One in (368 Visits)
- The Story of DEFCON in (343 Visits)
- Deface - tuttoaffari.lastampa.it si citymusiclab.city.corriere.it in (3493 Visits)
- RNS vs. RAI - citizenreport.rai.it hacked. in (3300 Visits)
- Hi5 email finder si sfarsitul a tot ceea ce inseamna privacy in social networking in (2996 Visits)
- Se poate sparge parola de Yahoo? in (2572 Visits)
- Free SMS time, TrimiteSMS.ro in (2492 Visits)
- Planete-plus-intelligente.lemonde.fr defaced by R.N.S. in (2464 Visits)
- Gmail uber hacking in (2256 Visits)
- Camera de supraveghere a universitatii Alexandru Ioan Cuza din Iasi in (2255 Visits)
- Cancan.ro spart pentru a doua oara intr-o zi in (2252 Visits)
- Stiri cu antena3 in (2208 Visits)
Posted on June 14th, 2009
Am citit aici un articol despre situatia magazinelor online din Romania. Mi-a atras atentia urmatorul rand:
nici un magazin din Romania nu stocheaza datele despre cartile de debit/credit pentru ca nu are de ce – procesarea platilor se face extern iar datele pot fi decat introduse de cumparator.
Eczista o problema. Daca procesarea platilor se face printr-un sistem extern dar formularul se afla pe paginile shop-ului, o vulnerabilitate ce ofera posibilitatea de modificare a datelor de pe serverul unde este shop-ul hostat ii poate permite unui atacator sa introduca inca un form in acel formular care ii va trimite si lui datele completate de catre clienti. Chiar si un SQL Injection permite in destule cazuri acces mare pe server asa ca nu e de glumit cu vulnerabilitatile antice dar intalnite la tot pasul.
Deci folosirea procesarii externe nu garanteaza neaparat securitatea datelor de pe card.
June 14th, 2009 at 11:27 am
Gresit. Formularul exista doar pe paginile procesatorului, peste o conexiune SSL. La procesator se trimit intr-un POST doar datele despre produsele din comanda, restul detaliilor despre plata se introduc doar la procesator.
June 14th, 2009 at 2:38 pm
Nu-i gresit deloc. Situatia poate sa difere de la caz la caz si tocmai din cauza asta exista la inceputul frazei mele cuvantul “daca”. In situatia data de tine intr-adevar devine mai greu sa capeti acces la datele clientului dar nu e imposibil. Iti pot exemplifica foarte usor.
1. Se da site-ul X care e shop online.
2. Procesarea se face prin site-ul Y.
3. Capeti acces la site-ul X
4.1. Schimbi linkul care duce catre pagina de procesare a site-ului Y, cu un link care duce catre o pagina de-a ta, unde este formularul tau. Asta va scurta foarte mult durata de viata a accesului tau pe site-ul X dar iti poate aduce cateva conturi ale clientilor.
Sau
4.2. Introduci chiar in formularul site-ului X campurile necesare pe care lumea le va completa cu voiosie. Pentru ca se afla pe paginile site-ului in care au deja destula incredere incat sa dea o comanda.
Pentru o veridicitate mai mare poti face ca la clickul pe submit sa ii apara un mic pop-up in care sa i se spuna ceva de genul “Va rugam sa completati si campul data expirarii”, dupa care va fi redirectionat catre pagina reala de procesare de pe site-ul Y. Majoritatea cumparatorilor vor considera ca au uitat sa completeze respectivul camp sau ca scriptul de pe site a avut o mica eroare.
Metoda asta va fi sesizata ceva mai greu de administratorul site-ului pentru ca oamenii vor introduce datele si pe pagina procesatorului iar vanzarile nu vor scadea.
5. Stai linistit in pat si astepti sa iti vina datele in mail pana cand cineva isi va da seama de problema.
Nu trebuie sa omitem nici ca sunt multe procesatoare externe (cam toate), care iti permit sa introduci tot formularul la tine pe site contra unei mici sume de bani. E o chestiune de timp pana Romania va folosi foarte mult serviciile de procesare din afara.
June 14th, 2009 at 6:08 pm
dar vedeti voi pentru procesare de carduri e nevoie de acel tert care sa o faca… nu se accepta ca fiecare site sa faca procesarea datelor. Si nu e doar la noi asa, e la toate siteurile straine.
Exemplu pe afara e authorize.net, iar la noi romcard.ro
June 14th, 2009 at 6:09 pm
uitasem sa precizez, ca la noi nu cred* ca exista impunere de standars, cum e PCI in America.
*zic cred deoarece nu am auzit nici unde de asa ceva.
June 14th, 2009 at 6:34 pm
@dblackshell – sunt site-uri din afara care isi proceseaza singuri comenzile si/sau pastreaza datele clientilor pe propriile servere. Or sa fie si la noi odata si odata.
June 15th, 2009 at 11:28 am
Legislatia romana nu permite procesarea de carduri pe situl tau. De asta tranzactia se face pe situri dedicate.
Este frauda, nu e vorba daca se poate sau nu face.
Cati dintre voi ati implementat plati cu cardul pe situri romanesti ? Nici un serviciu nu te lasa sa faci o tranzactie de card direct de pe situl tau.
June 15th, 2009 at 8:58 pm
va rog, hackuiti garsonieraluimaruta.ro/forum. apoi, puneti baza de date la liber.
June 23rd, 2009 at 1:31 am
ontopic:
@ovidiu:
1. Eu am implementat plata directa cu cardul direct pe site-ul firmei. Vezi paypal do-direct-payment. si conditiile in care se poate face acest lucru.
2. Nu este nici o frauda, este un simplu script care face “POST” la ei, iar in sistem la noi nu raman decat datele despre client (asta nu inseamna ca nu pot opri mai multe date sau nu se poate face ce a spus 2fingers.)
3. Ca idee, sunt multe posibilitati de a face 2fingers.
offtopic:
@boogie: Site-ul ala arata ca unul de curve la cate culori are. Mai bine pune mana pe carte.
June 23rd, 2009 at 1:32 am
( 3. Ca idee, sunt multe posibilitati de a face ce a spus 2fingers. )
Scuze, am scris incomplet.
June 23rd, 2009 at 8:33 am
PayPal nu este procesator de plati romanesc.