Ohjelma rikki – verkkokaupasta on voinut varastaa
Suomessakin paljon käytetyn verkkokauppasovelluksen lisäosista on löydetty haavoittuvuus, joka mahdollistaa tilaamisen ilman maksamista.
1.6.2009 09:20
11
OsCommerce on avoimeen lähdekoodiin perustuva verkkokauppasovellus, joka on käytössä verkkokaupoissa maailmanlaajuisesti.
Lisäosista havaitun haavoittuvuuden avulla verkkokaupasta voidaan tilata tuotteita tai palveluita siten, ettei tapahtumaa veloiteta verkkopankista tai luottokortilta, kansallinen tietoturvaviranomainen Cert-Fi tiedotti viikonloppuna.
Haavoittuvia ovat maksumoduulit Finnish Bank Payment ja Luottokunta v1.0. Vain jälkimmäiseen on julkaistu korjaus.
Ei ole selvää, liittyykö nyt ilmoitettu haavoittuvuus niihin, joista ohjelmistotalo Anders Inno varoitti maaliskuussa.
∇ Mainos ∇
-17
-6
Kommentit (11)
Lisäksi sijaintikin on jo aika hyvin tarkennettu
Korjaus liittyy siihen kun asiakas tulee takaisin verkkopankista, tarkistetaan kaiken varalta mukana tuleva tarkiste. Jos tarkistetta ei ole tai se on väärennetty, kyseessä on yritys saada ostokset ilman maksamista.
Itse koodin korjaus on pieni. Työtä tuohon menee noin 15 minuuttia.
Syynä tähän ongelmaan on se että ohjelmoija ei ole alun perin ajatellut tarpeeksi jotta olisi ottanut huomioon kaikki mahdolliset skenaariot maksutapahtumassa.
Itse tein kokonaan uudet maksumodulit asiakkailleni jo alunperin kun huomasin että nämä modulit ovat liian heppoisesti tehtyjä.
Eikä niitä todellakaan tehty varttitunnissa.
Näissä asioissa ei passaa säästää.
Mitä tulee Anders Innon "uutiseen", se taitaa olla oman tuotteen mainos.
Selkeät huijausyritykset ilmoitetaan suoraan poliisille.
heh taitaa olla näitä keksittyjä titteleitä.
EVO
Pikkupuljuissa onnistuu näppärästi mutta ei niissä joissa tavaraa rahdataan päivittäin ulos konttikaupalla.