Получить бонус
Аудитория сайта
| Поучительная история о ручном приеме платежей |
 |
|
Недавно я прочитал одну весьма интересную и поучительную статью. Данная статья является рассказом хакера о том как, воспользовавшись неопытностью в организации приема платежей на сайте, он заполучил круглую сумму и при этом остался безнаказанным. Привожу вам эту статью в неизменном виде. Итак, история: Одним прекрасным летним днем, когда все нормальные люди веселятся за городом на реке, я сидел в душной комнате и, проклиная свой образ жизни, заканчивал работу над очередным заказным взломом. Заказчик оказался адекватным человеком, поэтому расплатился со мной, практически сразу доплатив сверх 100$ премиальных за срочность. Получив увесистую сумму на свой WM-кошелек, я решил прикупить пару девайсов для своего компа - налить деньги было в лом, поэтому совершить покупку я решил в электронном магазине. Зайдя на Яндекс, я столкнулся с солидным списком крупных сетевых магазинов и вошел в один из них. Просмотрев прайс-лист и определившись с заказом, жму кнопку "Оформить заказ" и увидел, что платить придется либо сбербанком, либо наложенным платежом. Однако в последней строчке страницы я увидел, что администрация магазина принимает оплату также виртуальными деньгами, но без автоматического оформления сделки. Иными словами, утром - деньги, вечером - стулья, об автоматическом процессинге платежей эти ребята ничего не слышали :(. К сожалению, таким средневековым способом оплаты практикуют множество сетевых барахолок, что едва ли украшает Интернет. На этом история не заканчивается. Строкой ниже я увидел объявление "Если у вас возникли проблемы или пожелания - напишите об этом в наш форум". Ого, да у них еще и свой форум есть... Дальше все технические подробности я уберу, скажу лишь, что получить полный доступ ко всем файлам на чтение/запись удалось через форум... Продолжу его рассказ после получения рутовских (root - главный администратор сервера) прав. Под рутом я мог выполнять любые действия, но почему-то захотелось только одного - денег :). Я зашел в каталог с www-документами и скриптами и начал ковыряться в движке интернет - магазина. Сперва я хотел оставить обратный ход в коде, а затем у меня возникла мысль написать администратору об ошибках и не лезть на рожон. Но остановился на третьем варианте - мне пришла в голову мысль заменить WMZ указанный на странице с реквизитами на другой кошелек. Админы заметят не сразу, а денежки утекут совсем в другом направлении. На этом я и порешил: быстро зарегистрировал себе левый кошелек, который и указал на сайте. Как оказалось - не я один люблю расплачиваться WebMoney. Спустя пару дней, ко мне упала сумма 200$, а еще через день я получил дополнительную сотню. Подумав, что такое безобразие обязательно пресечется я начал думать о выводе средств. И мне в голову пришла замечательная идея - сперва я переслал деньги в обменник WMZ E-gold, а затем перенаправил деньги на другой E-Gold идентификатор. После этого уже через другой обменник я вывел денежку на свой родной кошелек. Работа была приятной и чистой :). Тяжкие последствия: По видимому, администратору пришлось не сладко, так как бедные клиенты начали спрашивать, почему из деньги утекли в неизвестном направлении. На следующий день, после очередного материального пополнения, я обнаружил две вещи: форум на сайте был полностью удален и все пароли были нерабочими. Спустя сутки мой кошелек заблокировали. Причем залочили частично: вход осуществлялся без проблем, но никакие операции по вводу/выводу средств не поддерживались. Видимо администрация WebMoney решила поймать меня с помощью отслеживания ip адреса. Но я не забывал о безопасности и выходил на их ресурс только через VPN+SOCS. Согласись, мало приятного, когда о твоих проделках замечает кто-то другой. Выводы: Какой из этого можно сделать вывод? При покупке всегда проверяйте аттестат продавца Совершайте сделку с протекцией сделки и код протекции высылайте на email При покупке отдавайте предпочтения магазинам с онлайновым процессингом сделки - будет надежнее. Продавцы - коли вы пользуетесь данным методом продажи, то проверяйте свои реквизиты на сайтах по чаще и склоняйте пользователей к использованию протекции сделок. Всегда ставьте самые новые заплатки на форум и другие скрипты. Статья взята с сайта http://www.securebook.ru Хочу несколько слов сказать от себя. Если вы пользуетесь для приема платежей на сайте системой WebMoney – организуйте интерфейс правильно. Не используйте простых методов организации автоматического приема платежей. Проверяйте все данные участвующие в процессе. Используйте предварительную проверку данных. Если вы используете систему RUpay – сказанное мной выше справедливо и для нее. Для того чтобы правильно организовать интерфейс приема платежей в системе WebMoney – рекомендую прочитать описание интерфейса. Просто пройдите по ссылке: http://www.pawlov.info/books/merchant.php Если вы не сильны в написании скриптов – вам поможет программа WebMoney Merchant Generator: http://www.pawlov.info/merchant/index.php |
Нашли ошибку?
