פירצה ב PAYPAL בכל מקום! - הוסטס

Steve-Web · 16-05-13, 11:05

אהלן ,
לא יודע כלכך מי מכיר אותי מי פחות ..
אני עוסק כבר המון זמן בפיתוח אתרים החל ממערכת CMS שבעבר פיתחתי חצי שנה שכוללת PAYPAL ועד לוורדפרסים ומערכות מוכנות בשילוב PAYPAL .
במהלך ההתעסקות שלי איתם (וגם עכשיו) אני לומד המון על אבטחת מידע , בייפאסינג , אבטחת SQLI מהמון סוגים DDOS מ 3 סוגים ועוד הרבה ....
יצא לי לראות המון אתרים ומערכות אוטומטיות שעובדות עם PAYPAL , 90 אחוז מהאתרים האלה לא מאובטחים והתקשרות עם PAYPAL לא מאובטחת בכלל ,
אתן דוגמא , כחלק מפרוייקט עזרה לאתרים כאלה , לקחתי כ 30 אתרים ישראלים שעובדים עם פייפאל ואלה התוצאות :

28 אתרים פריצים
2 עובדים בצורה מאובטחת עם פייפאל (החיסרון שלהם שהם מוגבלים בערכים שניתן לשלוח אל הפייפאל)

מזה אומר פריצים ?
נניח שאני רוצה לקנות בושם , אני יוצר לי רשימת בשמים בסל קניות מגיע לקופה , נרשם , כותב את כל הפרטים שלי , ובסופו של דבר מגיע הרגע , ההתקשרות עם פייפאל , פייפאל עונה עם הנתונים שהתקבלו , יוצר לי חשבונית , בסיום התשלום אני מוחזר לדף שהאתר עצמו שלח ביחד עם הנתונים עוד בהתחלה ובכך נגמר כל ההליך עם פייפאל .

מה אני מצאתי ?
ברגע שהאתר עצמו שולח את החשבונית לתשלום הפייפאל כמו שציינתי הוא שולח גם את הדף שתוחזר במידה והתשלום יבוצע או במידה והתשלום יבוטל לדף אחר .
אז הכתובות האלה מוצפנות קצת אבל לא רציני בכלל , כל מי שקצת מבין יוכל לראות את זה ולהבין ישר ולהשיג את הכתובת שמוחזר אם עבר ואת הכתובת אם בוטל התשלום .
עכשיו יש בערך 10 אתרים מתוך ה 28 הפריצים שבודקים בסיום התשלום במערכת שלהם האם החשבונית (מספר ה ID של העסקה של הפייפאל) שולם באמת , פה מתחילה קצת בעיה אבל לאחר ממש כמה דקות גם אותה פרצתי כך:
בעת השליחת נתונים השארתי את אותו ID של העברה, אותם פריטים בחשבונית אך שינוי בסכום התשלום לצורך הדוגמא ל 4 אגורות (אי אפשר פחות) ואז ביצוע התשלום , אני אכן משלם 4 אגורות אמיתיות אך לאחר מכן התשלום מוצג כבוצע בהצלחה , הפייפאל בעצמו הפעם החזיר אותי לעמוד של ביצוע תשלום כראוי וכל נראה כתקין .
היום במערכות האוטומטיות אין דרך לעלות על זה מלבד לבדוק על העברה בצורה ידנית מה שאני בטוח שהרבה חברות לא עושות את זה , אומנם כן בודקות את הפייפאל אך נניח שאני משלם 20 שח נראה בפייפאל מספר פריט : 221 לדוגמא , עך סך 20 שח , שיש להם מוצרים באתר על 20 שח לדוגמא מגן מסך כאשר אני בעצמי הזמנתי מכשיר פלאפון מתקדם ושלמתי רק 20 שם .
בכל מקרה מה שאני בא להגיד פה שיש המון אתרים עם בעיות .

מה שהכי משגע אותי שהבעלים של האתרים שאני מתקשר להתריע להם פשוט מתעלמים וממשיכים ובטוחים שזה לא יגיע אליהם .

משהו אחרון ששכחתי לציין האתרים שלא פגיעים הם אתרים שיוצרים את החשבונית באתר עצמו ובעזרת PHP שולחים לפייפאל את התשלום בצורה מאובטחת של 128 SSL ובהצפנה ואז פייפאל מחזיר להם TOKEN של התשלום והם מעבירים אותך רק לעמוד התשלום עם אותו TOKEN , מה שפה מצאתי גם באגים זה במערכות שיוצרות את הסכום ומציירות את ה TOKEN , גם אותם ניתן למות בקלות .

אם כבר אז רציתי להעלות פה את הדיון הזה ולראות מה אתם חושבים שניתן לעשות ?
להשאיר את זה ככה ?

מי שרוצה את הדרכים המלאות בפרטי או שהמנהלים יתירו גישה רק למשתמשי האתר ואז אוכל לפרסם את זה נורמאלי כמו במקור שכתבתי את זה .

toron · 16-05-13, 12:03

מעניין מאוד, תודה.
האם רק בעלי האתרים נפגעים מכך או שישנה סכנה גם למשתמשים?

Steve-Web · 16-05-13, 12:19

בעיקרון המשתמש (אני) זה שמבצע את הפריצה יכול לעשות שם מה שאני רוצה , כדי לפגוע בשאר המשתמשים אני כבר צריך לפרוץ לאתר עצמו, זה כבר נושא אחר לגמרי שגם הוא אפשרי אבל זה כבר לחנך את כל הישראלים מה שבלתי אפשרי - הישראלי אוהב זול .

Ori The Man · 16-05-13, 12:19

מעניין ומסוכן!
מה לדעתך הדרך הכי טובה להתגונן בפני זה?

Steve-Web · 16-05-13, 15:50

בהחלט מסוכן ,
הדרך הכי טובה לפי דעתי היא הצפנת המשתנים בהצפנה מסוג מסויים שלא נראה קל לזיהוי - ובעיקר את ה AMOUNT , כמו כן מי שמבין לעומק בפייפאל יוכל להטמיע כל הצפנה שלו ויוכל ללמד את פייפאל את ההצפנה שלו בקלות . (אלגוריתם קצר)
בכל מקרה , השיטה הכי טובה היא לעבוד כרגע עם TOKEN על מנת שלא יוכלו לגעת במשתנים שאתה שולח לפייפאל, אומנם זה דורש יותר עבודת שרת פנימית אבל זה בהחלט שווה את זה .
בנוסף , אני כרגע עובד על מערכת להגנה מפני הדבר הזה שבעצם תוודא ה ID של העסקה תאומת על סך התשלום שבוצעה לאחר כל רכישה וככה לא יהיו בעיות כאלה . (זה לא פשוט בכלל כשפייפאל מגבילים אותך בזה)

Ori The Man · 16-05-13, 16:46

ידוע לך אם הפירצה תופסת גם בתוסף woocommerce בוורדפרס?

WCMS · 16-05-13, 16:56

בגלל זה צריך להשתמש באימות מול פייפל דרך IPN או עם Express Checkout.

Maor|Short.co.il · 16-05-13, 17:00

וואו מידע מאוד חשוב, תודה רבה!

עכשיו הבנתי מדוע אמרת שלמרות הפירצה אני עדיין מאובטח - כי אני מבצע את הפעולות באופן ידני.

האם התרעת בפני PAYPAL עצמה על הפירצה ולא רק בפני בעלי האתרים?

Steve-Web · 16-05-13, 17:28

אורי אני יבדוק ויעדכן .
WCMS אני אישית בדקתי על כמה אתרים כאלו שגם בהם יש הרבה באגים שמאפשרים את אותה בעיה .
עוד לא התרעתי בפני פייפאל מכיוון שאני עוד לא סיימתי לפתח לזה פתרון בעצמי . ואני בטוח שהם מודעים לזה באיזשהו שלב .
בכל מקרה יש עוד המון בעיות שמצאתי עם פייפאל ועוד שיטות של פריצה וניצול חולשות כאלו שלא פירטתי כאן מכיוון שזה יהווה סכנה אמיתית .

Ori The Man · 16-05-13, 17:50

בעיקרון איפה החור? אצל זה שמטמיע את פייפאל באתר שלו, ודואג להעברת נתונים בצורה לקויה? או שפייפאל בכלל דורשת להעביר את הנתונים ככה

16-05-13, 11:05	# 1
Steve-Web חבר מתקדם מיני פרופיל תאריך הצטרפות: Nov 2011 הודעות: 653	פירצה ב PAYPAL בכל מקום! אהלן , לא יודע כלכך מי מכיר אותי מי פחות .. אני עוסק כבר המון זמן בפיתוח אתרים החל ממערכת CMS שבעבר פיתחתי חצי שנה שכוללת PAYPAL ועד לוורדפרסים ומערכות מוכנות בשילוב PAYPAL . במהלך ההתעסקות שלי איתם (וגם עכשיו) אני לומד המון על אבטחת מידע , בייפאסינג , אבטחת SQLI מהמון סוגים DDOS מ 3 סוגים ועוד הרבה .... יצא לי לראות המון אתרים ומערכות אוטומטיות שעובדות עם PAYPAL , 90 אחוז מהאתרים האלה לא מאובטחים והתקשרות עם PAYPAL לא מאובטחת בכלל , אתן דוגמא , כחלק מפרוייקט עזרה לאתרים כאלה , לקחתי כ 30 אתרים ישראלים שעובדים עם פייפאל ואלה התוצאות : 28 אתרים פריצים 2 עובדים בצורה מאובטחת עם פייפאל (החיסרון שלהם שהם מוגבלים בערכים שניתן לשלוח אל הפייפאל) מזה אומר פריצים ? נניח שאני רוצה לקנות בושם , אני יוצר לי רשימת בשמים בסל קניות מגיע לקופה , נרשם , כותב את כל הפרטים שלי , ובסופו של דבר מגיע הרגע , ההתקשרות עם פייפאל , פייפאל עונה עם הנתונים שהתקבלו , יוצר לי חשבונית , בסיום התשלום אני מוחזר לדף שהאתר עצמו שלח ביחד עם הנתונים עוד בהתחלה ובכך נגמר כל ההליך עם פייפאל . מה אני מצאתי ? ברגע שהאתר עצמו שולח את החשבונית לתשלום הפייפאל כמו שציינתי הוא שולח גם את הדף שתוחזר במידה והתשלום יבוצע או במידה והתשלום יבוטל לדף אחר . אז הכתובות האלה מוצפנות קצת אבל לא רציני בכלל , כל מי שקצת מבין יוכל לראות את זה ולהבין ישר ולהשיג את הכתובת שמוחזר אם עבר ואת הכתובת אם בוטל התשלום . עכשיו יש בערך 10 אתרים מתוך ה 28 הפריצים שבודקים בסיום התשלום במערכת שלהם האם החשבונית (מספר ה ID של העסקה של הפייפאל) שולם באמת , פה מתחילה קצת בעיה אבל לאחר ממש כמה דקות גם אותה פרצתי כך: בעת השליחת נתונים השארתי את אותו ID של העברה, אותם פריטים בחשבונית אך שינוי בסכום התשלום לצורך הדוגמא ל 4 אגורות (אי אפשר פחות) ואז ביצוע התשלום , אני אכן משלם 4 אגורות אמיתיות אך לאחר מכן התשלום מוצג כבוצע בהצלחה , הפייפאל בעצמו הפעם החזיר אותי לעמוד של ביצוע תשלום כראוי וכל נראה כתקין . היום במערכות האוטומטיות אין דרך לעלות על זה מלבד לבדוק על העברה בצורה ידנית מה שאני בטוח שהרבה חברות לא עושות את זה , אומנם כן בודקות את הפייפאל אך נניח שאני משלם 20 שח נראה בפייפאל מספר פריט : 221 לדוגמא , עך סך 20 שח , שיש להם מוצרים באתר על 20 שח לדוגמא מגן מסך כאשר אני בעצמי הזמנתי מכשיר פלאפון מתקדם ושלמתי רק 20 שם . בכל מקרה מה שאני בא להגיד פה שיש המון אתרים עם בעיות . מה שהכי משגע אותי שהבעלים של האתרים שאני מתקשר להתריע להם פשוט מתעלמים וממשיכים ובטוחים שזה לא יגיע אליהם . משהו אחרון ששכחתי לציין האתרים שלא פגיעים הם אתרים שיוצרים את החשבונית באתר עצמו ובעזרת PHP שולחים לפייפאל את התשלום בצורה מאובטחת של 128 SSL ובהצפנה ואז פייפאל מחזיר להם TOKEN של התשלום והם מעבירים אותך רק לעמוד התשלום עם אותו TOKEN , מה שפה מצאתי גם באגים זה במערכות שיוצרות את הסכום ומציירות את ה TOKEN , גם אותם ניתן למות בקלות . אם כבר אז רציתי להעלות פה את הדיון הזה ולראות מה אתם חושבים שניתן לעשות ? להשאיר את זה ככה ? מי שרוצה את הדרכים המלאות בפרטי או שהמנהלים יתירו גישה רק למשתמשי האתר ואז אוכל לפרסם את זה נורמאלי כמו במקור שכתבתי את זה . __________________ www.kyd.co.il,www.shiromika-lambretta.com, www.notary-attorney.co.il,www.bitilan1.com, http://funjoy.co.il/,http://djyanivo.com, http://פסולתאלקטרונית.com/ , http://shiromika.com/, ועוד. עוסק המון בתחום אבטחת אתרים.בעלים של חברת Steve-Web ומתכנת ראשי.מתקן ומשדרג אתרים קיימים.ליצירת קשר. 0526974757-עדן. Last edited by Steve-Web; 16-05-13 at 11:11.. סיבה: שינוי כותרת

16-05-13, 12:19	# 3
Steve-Web חבר מתקדם מיני פרופיל תאריך הצטרפות: Nov 2011 הודעות: 653	בעיקרון המשתמש (אני) זה שמבצע את הפריצה יכול לעשות שם מה שאני רוצה , כדי לפגוע בשאר המשתמשים אני כבר צריך לפרוץ לאתר עצמו, זה כבר נושא אחר לגמרי שגם הוא אפשרי אבל זה כבר לחנך את כל הישראלים מה שבלתי אפשרי - הישראלי אוהב זול . __________________ www.kyd.co.il,www.shiromika-lambretta.com, www.notary-attorney.co.il,www.bitilan1.com, http://funjoy.co.il/,http://djyanivo.com, http://פסולתאלקטרונית.com/ , http://shiromika.com/, ועוד. עוסק המון בתחום אבטחת אתרים.בעלים של חברת Steve-Web ומתכנת ראשי.מתקן ומשדרג אתרים קיימים.ליצירת קשר. 0526974757-עדן.

16-05-13, 12:19	# 4
Ori The Man משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: חיפה גיל: 34 הודעות: 3,694	מעניין ומסוכן! מה לדעתך הדרך הכי טובה להתגונן בפני זה? __________________ PickUpp אפליקציית היכרויות אפליקציית פיקאפ

16-05-13, 15:50	# 5
Steve-Web חבר מתקדם מיני פרופיל תאריך הצטרפות: Nov 2011 הודעות: 653	בהחלט מסוכן , הדרך הכי טובה לפי דעתי היא הצפנת המשתנים בהצפנה מסוג מסויים שלא נראה קל לזיהוי - ובעיקר את ה AMOUNT , כמו כן מי שמבין לעומק בפייפאל יוכל להטמיע כל הצפנה שלו ויוכל ללמד את פייפאל את ההצפנה שלו בקלות . (אלגוריתם קצר) בכל מקרה , השיטה הכי טובה היא לעבוד כרגע עם TOKEN על מנת שלא יוכלו לגעת במשתנים שאתה שולח לפייפאל, אומנם זה דורש יותר עבודת שרת פנימית אבל זה בהחלט שווה את זה . בנוסף , אני כרגע עובד על מערכת להגנה מפני הדבר הזה שבעצם תוודא ה ID של העסקה תאומת על סך התשלום שבוצעה לאחר כל רכישה וככה לא יהיו בעיות כאלה . (זה לא פשוט בכלל כשפייפאל מגבילים אותך בזה) __________________ www.kyd.co.il,www.shiromika-lambretta.com, www.notary-attorney.co.il,www.bitilan1.com, http://funjoy.co.il/,http://djyanivo.com, http://פסולתאלקטרונית.com/ , http://shiromika.com/, ועוד. עוסק המון בתחום אבטחת אתרים.בעלים של חברת Steve-Web ומתכנת ראשי.מתקן ומשדרג אתרים קיימים.ליצירת קשר. 0526974757-עדן.

16-05-13, 16:46	# 6
Ori The Man משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: חיפה גיל: 34 הודעות: 3,694	ידוע לך אם הפירצה תופסת גם בתוסף woocommerce בוורדפרס? __________________ PickUpp אפליקציית היכרויות אפליקציית פיקאפ


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

16-05-13, 12:03	# 2
toron חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2009 הודעות: 302	מעניין מאוד, תודה. האם רק בעלי האתרים נפגעים מכך או שישנה סכנה גם למשתמשים?

16-05-13, 16:56	# 7
WCMS חבר מתקדם מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 629	בגלל זה צריך להשתמש באימות מול פייפל דרך IPN או עם Express Checkout.

16-05-13, 17:00	# 8
Maor\|Short.co.il עסק רשום [?] מיני פרופיל תאריך הצטרפות: Dec 2006 מיקום: שדרות גיל: 39 הודעות: 69	וואו מידע מאוד חשוב, תודה רבה! עכשיו הבנתי מדוע אמרת שלמרות הפירצה אני עדיין מאובטח - כי אני מבצע את הפעולות באופן ידני. האם התרעת בפני PAYPAL עצמה על הפירצה ולא רק בפני בעלי האתרים? __________________ לעניין - סטודיו לעיצוב גרפי ופתרונות דפוס www.lainyan.biz

16-05-13, 17:28	# 9
Steve-Web חבר מתקדם מיני פרופיל תאריך הצטרפות: Nov 2011 הודעות: 653	אורי אני יבדוק ויעדכן . WCMS אני אישית בדקתי על כמה אתרים כאלו שגם בהם יש הרבה באגים שמאפשרים את אותה בעיה . עוד לא התרעתי בפני פייפאל מכיוון שאני עוד לא סיימתי לפתח לזה פתרון בעצמי . ואני בטוח שהם מודעים לזה באיזשהו שלב . בכל מקרה יש עוד המון בעיות שמצאתי עם פייפאל ועוד שיטות של פריצה וניצול חולשות כאלו שלא פירטתי כאן מכיוון שזה יהווה סכנה אמיתית . __________________ www.kyd.co.il,www.shiromika-lambretta.com, www.notary-attorney.co.il,www.bitilan1.com, http://funjoy.co.il/,http://djyanivo.com, http://פסולתאלקטרונית.com/ , http://shiromika.com/, ועוד. עוסק המון בתחום אבטחת אתרים.בעלים של חברת Steve-Web ומתכנת ראשי.מתקן ומשדרג אתרים קיימים.ליצירת קשר. 0526974757-עדן.

16-05-13, 17:50	# 10
Ori The Man משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: חיפה גיל: 34 הודעות: 3,694	בעיקרון איפה החור? אצל זה שמטמיע את פייפאל באתר שלו, ודואג להעברת נתונים בצורה לקויה? או שפייפאל בכלל דורשת להעביר את הנתונים ככה __________________ PickUpp אפליקציית היכרויות אפליקציית פיקאפ

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)

כלים לאשכול
הצגת גרסת הדפסה שלח דף זה באימייל
תצורת הצגה
עבור למצב קווי עבור לתצורה משולבת עבור לתצורת אשכולות