Da je stavio 50% manje od bida, ne bi ga nitko ništa pitao
Jednostavnom manipulacijom web stranice kupovao au
- poruka: 15
- |
- čitano: 6.422
- |
- moderatori:
vincimus
- +/- sve poruke
- ravni prikaz
- starije poruke gore
Pohlepa je zajebana stvar
Kakvo je to hakiranje??
Pa kaj netreba neovlašteno pristupit serveru da promjeni iznos?
Kak možeš promjenit nešto na web stranici i da to bude registrirano u njihovom sustavu?
Promijenio je vrijednost lokalno na racunalu i skripta je pokupila promijenjenu vrijednost i poslala je dalje na obradu odnosno placanje, a backend nije prethodno provjerio da li su podaci mijenjani. A mozda se iz poslanih podataka i nije moglo provjeriti da li se nesto mijenjalo. To je pogreska u dizajnu sustava.
vjerojatno je i cijena programera koji je to radio bila 1$/h pa su onda ovakve stvari moguće, i onda se programeri boje za posao zbog AI-ja, ovakvi koji su ovo programirali definitivno bi e trebali zabrinuti :D
Da je stavio 50% manje od bida, ne bi ga nitko ništa pitao
naravno da bi se skuzilo da bilanca ne štima krajem godine
i dalje je bilo u sustavu zaprimljeno da je stvar prodana za xy tisuca dolara, medutim naplata od 1 dolar je potvrdena ka cijelovita.
kada bilanca ne stima, onda se krece sa rudarenjem gdje je greska i jako brzo bi se pronaslo
Kakvo je to hakiranje??
Pa kaj netreba neovlašteno pristupit serveru da promjeni iznos?
Kak možeš promjenit nešto na web stranici i da to bude registrirano u njihovom sustavu?
možeš mijenjati na "client" strani sve što želiš, vrlo jednostavno. Kad su u pitanju nekakve forme, javascripte onda se može manipulirati podacima, međutim svaka ozbiljna aplikacija će imati i provjeru na "server" strani. Kod Payment Gatewaya se obično slaže poseban hash koji se sastoji od više podataka, među ostalim i od cijene, prilikom prelaska na PG web on radi provjeru poklapa li se preneseni iznos sa iznosom u hashu, pojednostavljeno rečeno. Ovdje očito nije bilo te provjere što je nevjerojatno.
Kakvo je to hakiranje??
Pa kaj netreba neovlašteno pristupit serveru da promjeni iznos?
Kak možeš promjenit nešto na web stranici i da to bude registrirano u njihovom sustavu?
Kao što su drugi napisali, backend nije provjeravao što client šalje i "na slijepo" je upisivao vrijednost koje je dobio. Umjesto da provjeri da li je primljena vrijednost smislena (tj. da li je njegov bid veći od trenutnog), samo je pospremio njegov bid koji je iznosio $1, toliko je uplatio i auto je njegov jer zadnji bid, ujedno i "najveći" je njegov - vjerojatno je ciljao na aukcije koje su pri samom kraju.
Čisti primjer "do not trust user input". Zakrpa za problem se vjerojatno svela na to prije upisa novog bida ili plaćanja istog, provjeri da li je uneseni iznos veći od postojećeg, ne ga samo napamet pregaziti.
Kakvo je to hakiranje??
Pa kaj netreba neovlašteno pristupit serveru da promjeni iznos?
Kak možeš promjenit nešto na web stranici i da to bude registrirano u njihovom sustavu?
Kao što su drugi napisali, backend nije provjeravao što client šalje i "na slijepo" je upisivao vrijednost koje je dobio. Umjesto da provjeri da li je primljena vrijednost smislena (tj. da li je njegov bid veći od trenutnog), samo je pospremio njegov bid koji je iznosio $1, toliko je uplatio i auto je njegov jer zadnji bid, ujedno i "najveći" je njegov - vjerojatno je ciljao na aukcije koje su pri samom kraju.
Čisti primjer "do not trust user input". Zakrpa za problem se vjerojatno svela na to prije upisa novog bida ili plaćanja istog, provjeri da li je uneseni iznos veći od postojećeg, ne ga samo napamet pregaziti.
ako sam dobro shvatio nije "problem" bio u bidanju, on bi uredno ponudio najveći iznos, ali nakon toga bi ga sistem preusmjerio na stranicu za plaćanje i tu bi on postignuti iznos promijenio u 1$. što je najbolje taj sistem za plaćanje je državna aplikacija.
"Coker je sudjelovao u tim aukcijama na službenim internetskim stranicama, licitirao i nudio najviše iznose, pa time pobjeđivao i dobivao pravo na kupnju određenih predmeta. Kada je s dražbe izišao kao pobjednik, a bilo je to u čak 19 slučajeva, bio je preusmjeren na službenu stranicu za provođenje plaćanja (pay.gov)."
Payment gateway će naplatiti što god da dobio od backenda - kako je on uspješno "prevario" backend i server je zapisao $1 kao cijenu, nema problema, to je proslijeđeno na payment gateway i naplaćeno - PG nema razloga sumnjati u cijenu nečeg jer stiže hashirano od backenda a ne od korisnika. PG niti ne može provjeriti cijenu - ako mu backend (server) kaže da je cijena 1 dolar, cijena je 1 dolar.
I državne aplikacije rade ljudi, greške su moguće, nisu "državni" programeri ništa bolji (obično su i lošiji) ili je pak cijeli sistem napravio "lowest bidder" što objašnjava propust.
Ne bi me iznenadilo da je dotični bio u ekipi koja je i slagala sustav, izravno ili kao pridruženi član.
Payment gateway će naplatiti što god da dobio od backenda - kako je on uspješno "prevario" backend i server je zapisao $1 kao cijenu, nema problema, to je proslijeđeno na payment gateway i naplaćeno - PG nema razloga sumnjati u cijenu nečeg jer stiže hashirano od backenda a ne od korisnika. PG niti ne može provjeriti cijenu - ako mu backend (server) kaže da je cijena 1 dolar, cijena je 1 dolar.
I državne aplikacije rade ljudi, greške su moguće, nisu "državni" programeri ništa bolji (obično su i lošiji) ili je pak cijeli sistem napravio "lowest bidder" što objašnjava propust.
Čini mi se da nisi pročitao tekst ili si ga samo preletio. Nikakav backend on nije "prevario" i nigdje server nije zapisao $1 kao cijenu. Ovdje se teoretski i ne radi o pravom hakiranju već o manipulaciji podacima i čistom propustu u payment aplikaciji.
Lik je kad je prebačen na početnu stranicu za plaćanje otvorio web dev konzolu, pronašao payment formu i hidden input elementu promijenio iznos u $1 i zatim potvrdio početak naplate. Očito tu i ne postoji backend provjera jer da postoji zajedno sa iznosom $1 bi se na PG prenio i hash u kojem je pravi iznos zajedno sa ostalim tajnim podacima koje on ne vidi niti smije vidjeti. Nakon toga bi PG kreirao novi hash sa tim istim podacima i iznosom $1 i vidio da se hashevi ne poklapaju te bi odbio transakciju odnosno plaćanje. Kako se to ovdje nije desilo za pretpostaviti je da takva provjera jednostavno ne postoji i netko je dozvolio "čisti" prijenos iznosa preko forme bez ikakve provjere od strane PGa.
Greške jesu moguće, daleko od toga, ali ovo je kao da parkiraš auto u Bronx i ostaviš ključeve u bravi.
Je li to namjerno tako napravljeno ili ne je drugo pitanje.
Je, točno, nisam čitao tu članak nego na redditu, a tamo ga je netko krivo prenio. U originalu tocno pise sto se dogodilo - on je biddao na pravi iznos i dobio bid i onda preveslao payment gateway da plati $1 umjesto pravog iznosa. Zanemarite moje piskaranje, promasaj. Tnx. Idem vrijeđati ovog na redditu jer je doslovce krivo prenio clanak.
tim i veca tragedija da se payment gateway da tako prevariti. Strasno. Ovo sa backendom i varanjem na zadnjem bidu mi je bilo daleko vjerojatnije, zato i nisam posumnjao u post...