Как стать автором
Обновить

[Перевод] Amazon работает над ошибками

Время на прочтение 3 мин
Количество просмотров 2.6K
Автор оригинала: Steve Chaplin-Indiana
Группа исследователей провели практическую атаку на крупнейшие сайты интернет-торговли, которые используют внешние системы приема платежей, для получения товаров бесплатно или по ими установленной цене.

«Дыра» в безопасности при обработке онлайн-платежей позволила им приобрести электронику, DVD, электронную подписку на периодику, средства гигиены и другие продукты по ценам, которые они сами себе установили. Исследователи проинформировали соответствующие магазины о найденной бреши в безопасности и помогли её исправить. (Источник: Университет Индианы, Indiana University)

В некоторых случаях им удалось убедить интернет-магазины, что они оплатили покупку через внешний сервис платежей (cashier-as-a-service, CaaS) Amazon Payment, тогда как заплатили на собственный коммерческий счёт в Amazon. Исследователи планируют представить подробности в мае [2011 года] на Симпозиуме по безопасности и приватности в г.Окленд, Калифорния, под эгидой Электроинженерного Института (Institute of Electrical and Electronics Engineers).

Ведущие коммерческие приложения NopCommerce и Interspire, провайдеры внешних сервисов платежей, такие как Amazon Payments, и некоторые популярные торговые интернет-площадки имеют серьёзные недостатки в логике обработки данных. Это позволяет злоумышленникам воспользоваться несоответствием при передаче статусов платежей между торговыми площадками и внешними сервисами платежей (Amazon Payments, PayPal и Google Checkout).

В каждом упомянутом случае исследователи проинформировали о найденных уязвимостях затронутые стороны, вернули неправомерно полученные товары и проконсультировали сервисы о сути найденных ошибок и способах их исправления.
«Мы считаем, что при работе с внешними сервисами платежей очень сложно удостовериться в отсутствии злоумышленника, который может воспользоваться найденными уязвимостями», —
сообщил XiaoFeng Wang, со-автор исследования и профессор информатики и компьютерной техники Университета Индианы.

«Кроме того, трёхзвенное взаимодействие (между торговым приложением, онлайн-магазином и внешним сервисом платежей) сложнее по сравнению с двухзвенным между браузером и сервером, поэтому в нем обнаруживаются коварные логические ошибки.»

По словам исследователей, большинство уязвимостей найдены в торговых приложениях, но часть ответственности лежит и на внешних сервисах платежей. В одном из случаев обнаружилась уязвимость в Amazon Payments’ SDK, что заставило компанию серьёзно изменить способ проверки уведомлений об оплате.

Как сказано в отчете, предварительное исследование затронуло только простые трёхзвенные взаимодействия и не рассматривало варианты вовлечения других сторон, как аукционы и комплексные торговые площадки. Скорее всего, такие варианты ещё более уязвимы.

По словам ведущего автора данного исследования, аспиранта Rui Wang,
«Многозвенные веб-приложения потребуют дальнейших работ в области безопасности. Мы проанализировали сложные механизмы систем на основе внешних сервисов платежей и пришли к выводу, что вопросы безопасности должны подниматься на этапе разработки и тестирования таких систем. Мы считаем нашу работу первым шагом в новой области проблем безопасности гибридных веб-приложений».

Исследовательская группа, которая также включает Shuo Chen и Shaz Qadeer из Microsoft Research (Redmond, Washington), предполагает рассмотреть аналогичные уязвимости, при которых злоумышленник сможет сделать две покупки с большой разницей в цене, после чего вернуть более дешёвую, а возврат средств получить за более дорогую.

«Было бы интересно, если бы мы сделали заказ на $1 и на $10, отменили заказ на $1, а средства нам вернули за заказ на $10», —
добавляет Rui Wang.

В январе [2011 года] Rui Wang и XiaoFeng Wang, его научный руководитель, а также Shuo Chen, исследователь из Microsoft, были участниками исследовательской команды, которая нашла уязвимость в Facebook. Эта уязвимость позволяла сайтам-злоумышленникам получать и распространять персональные пользовательские данные. Позднее Facebook подтвердил и исправил найденные ошибки.
Теги:
Хабы:
+20
Комментарии 13
Комментарии Комментарии 13

Публикации

Истории

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн
PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн