VkontakteとMaster Bankは、銀の大皿の詐欺師に、銀行カードによる支払いに関連する優れた脆弱性を提示しました

多くの人は、Vkontakteが銀行カードで残高を補充する機会があることを知っています。 支払いの受け入れは、マスターバンクの処理を通じて実装され、一見、非常に安全に思えます。 SSLとVisa / MasterCard SecureCodeセキュリティプロトコルによる検証、および「このページに送信される情報はすべて安全で特別な手段で保護されている」という声明を示します。独自のプロトコルのセキュリティについて。

商人が支払いトランザクションを作成し、それをマスターバンクに送信するプロトコルにより、POSTリクエストのパラメーターを変更し、そこで必要な情報を置き換えることができます。 これを使用して、潜在的な詐欺師は、たとえば携帯電話の補充など、いくつかのサービスを提供するサイトを作成できます。 詐欺師は、Vkontakteアカウントからカード支払い要求を事前に生成し、それによって有効なORDER値のセットを取得します。
次に、彼のWebサイトの携帯電話のリチャージページで、クライアントに携帯電話番号の入力を求め、それをマスターバンクの支払いページにリダイレクトし、クライアントが疑問を抱かないように、名前、商人の説明、金額を必要な値に置き換えます。 マスターバンクの支払いページの置換POSTリクエストの例：

input type='hidden' name='AMOUNT' value='_'
input type='hidden' name='CURRENCY' value='RUB'
input type='hidden' name='ORDER' value='__'
input type='hidden' name='DESC' value=' '
input type='hidden' name='MERCH_NAME' value=' '
input type='hidden' name='MERCH_URL' value='http//popolni.mobilnik.online.ru'
input type='hidden' name='MERCHANT' value='710000000837464'
input type='hidden' name='TERMINAL' value='71837464'
input type='hidden' name='EMAIL' value=''
input type='hidden' name='TRTYPE' value='0'
input type='hidden' name='COUNTRY' value=''
input type='hidden' name='MERC_GMT' value='3'
input type='hidden' name='TIMESTAMP' value=' '
input type='hidden' name='BACKREF' value='vk'


したがって、カード所有者はカード詳細入力ページにリダイレクトされます。



彼が銀行の信頼できるウェブサイトにいるので、商人が信頼できることを望んでいます。 資金はカード所有者の口座から引き落とされ、投票者は詐欺師Vkontakteの口座に入金されます。 詐欺師は携帯電話の追加サービスを提供していませんが、Vkontakteは広告やその他のサービスに投票しています。



ご覧のとおり、脆弱性はテストされており、資金はVkontakteのアカウントに入金されています。

PS情報は、マスターバンクとVKontakteのテクニカルサポートに脆弱性が通知された後、自然に公開されます。 VKontakteからも、脆弱性の事実は小さいが、可能性が高いというコメントを受け取りました。