»Ѕ-специалисты обнаружили у€звимости в крупных интернет-магазинах

image

“еги: интернет-магазин, у€звимость

¬ одной из атак ∆уй ¬ан вместе с коллегами из ”ниверситета »ндианы в Ѕлумингтоне и Microsoft Research использовал плагин дл€ браузера Firefox, чтобы отследить данные, пересылаемые с торгового сайта Buy.com платЄжной системе PayPal и обратно.

јмериканские специалисты по компьютерной безопасности обнаружили у€звимости даже в крупных интернет-магазинах.

¬ одной из атак ∆уй ¬ан вместе с коллегами из ”ниверситета »ндианы в Ѕлумингтоне и Microsoft Research использовал плагин дл€ браузера Firefox, чтобы отследить данные, пересылаемые с торгового сайта Buy.com платЄжной системе PayPal и обратно.  ак только пользователь оплачивает покупку, PayPal отправл€ет веб-магазину подтверждающее сообщение с кодом, идентифицирующим сделку.

≈сли платежна€ система выполн€ет свою часть процесса на должном уровне безопасности, то Buy.com оказалось довольно легко одурачить, замечает г-н ¬ан. ¬начале специалисты приобрели один товар, после чего отследили подтверждающий код и использовали его повторно дл€ новой покупки. » всЄ получилось! »наче говор€, подобную схему можно реализовывать неоднократно.

“от же метод компьютерщики применили в других электронных магазинах и с другими платЄжными системами, получив бесплатно несколько товаров. –азумеетс€, они их вернули и уведомили компании о «дырах» в системе безопасности.

√лавна€ проблема, по словам г-на ¬ана, заключаетс€ в наличии трЄх участников интернет-торговли со стороны продавца: самого магазина, платЄжного сайта и приложени€, которое осуществл€ет транзакцию. ѕоэтому обнаруженные проблемы €вно не станут последними.

–езультаты работы будут представлены на меропри€тии IEEE Symposium on Security & Privacy, которое пройдЄт с 22 по 25 ма€ в ќкленде (штат  алифорни€).


или введите им€

CAPTCHA
53354
29-04-2011 11:40:58
«ато на программистах небось магазины отлично наэкономили, аутсорсинг во все пол€ и все такое.
0 |
29-04-2011 11:46:10
Ёто все пиар ћ— - типа кто сидит под лисой, тот потенциально злодей. ј каждый плагин - угроза безопасности обществу.
0 |
/dev/null
29-04-2011 12:25:15
≈сть люди, кторые когда говор€т - такое ощущение, что они бред€т. ¬ы - один из них, суд€ по опусу выше.
0 |
Spectre
29-04-2011 12:31:35
и Microsoft Research использовал плагин дл€ браузера Firefox, чтобы отследить данные»ногда лучше читать чем говорить? —уд€ по всему целью "эксперимента" как раз и было доказательство того что плагины Firefox могут быть использованы дл€ хищени€ данных.
0 |
/dev/null
29-04-2011 13:10:16
»ногда лучше думать, что говорить. ≈сли ¬ы используете ключ дл€ открыти€ двери - это говорит о том, что ¬ы собираетесь взломать банковский сейф?
0 |
√ость
29-04-2011 13:54:05
ќратор выше пытаетс€ вам показать, каков возможный вариант развити€ событий далее. ≈го верси€ имеет место быть. ”читыва€ агрессивную маркетинговую политику известной всем компании, это весьма веро€тный сценарий. P.S.: не склонен обращать внимание на орфографию комментаторов, но все же посмотрите эту ссылку http://www.gramota.ru/spravka/letters/?rub=rubric_88
0 |
/dev/null
29-04-2011 14:02:09
P.S.: не склонен обращать внимание на орфографию комментаторов, но все же посмотрите эту ссылку http://www.gramota.ru/spravka/letters/?rub=rubric_88 Ёто ¬ы (именно с большой буквы) дл€ себ€, как € понимаю, ссылку привели? ћудро. ќчень мудро.
0 |
Ћисоюзер
29-04-2011 18:55:20
“ам не хищение данных, а обман магазина. ј дополнение - инструмент дл€ осуществлени€. » вполне можно обойтись без него, став€ задачу отсылки запроса, не так ли? Ёто кстати не Tamper Data?
0 |