Проблемы с оплатой в платежной системе VeriSign " PayFlow Link "

Дата публикации:
09.01.2002
Всего просмотров:
1198
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Служба оплаты VeriSign " PayFlow Link " содержит недостаток, который заставляет некоторые приложения, которые вслепую полагаются на результат представленных форм, принимать платежи за недействительные номера кредитной карточки.

Конечная страница проверки различных программ, позволяющих on-line покупки, запрашивает у покупателя через форму, информацию о кредитной карточке, acct *, exp дата, и т.д. Когда покупатель утверждает форму, данные посылаются непосредственно счету учетной записи продавца “PayFlow Link” для утверждения. Если информация кредитной карточки утверждена, VeriSign разрешает оплату и представляет данные назад приложению продавца, которая осуществляет покупку. Когда приложение получает эти данные, оно предполагает, что оплата была уполномочена и завершает заказ для продавца.

Exploit #1:
На конечной странице проверки, сохраните HTML на диск (оставте страницу в броузере открытой, чтобы сохранить сеанс) и редактируйте часть данных формы ACTION= назад к приложению, делающему покупку, вместо VeriSign. Точный URL должен соответствовать URL, которым бы VeriSign представил утвержденный заказ. Сохраните отредактированный HTML, перезагрузите в вашем броузере, и представьте поддельную информацию о кредитной карточки с вашим заказом. Так как нет никакой идентификации между VeriSign и приложением магазина, приложение, делающее покупки, будет думать, что плата была уполномочена, и завершит этот заказ.

Exploit #2:
Подпишитесь на бесплатную демо версию учетной записи PayFlow Link в VeriSign. Во время демонстрационного режима, этот счет "утвердит" почти любую информацию кредитной карточки, если карта соответствует основному формату, срок годности не истек, и сумма оплаты меньше 100$. Этот демонстрационный счет должен быть сконфигурирован, чтобы посылать информацию подтверждения к системе покупки магазина. Тогда выполните редактирование конечной страницы отладки, как показано в предыдущем примере, только на сей раз измените скрытый признак формы, чтобы направить оплату демонстрационной учетной записи PayFlow Link. Сохраните HTML, перегрузите в вашем браузере, и представьте поддельную информацию кредитной карточки.

или введите имя

CAPTCHA