
Манипуляции ценой товара в некоторых торговых корзинах

@ @
@ :: LwB Security Team :: @
@ @
# -written by durito #
# -e-mail: durito@mail.ru #
# -http://www.lwbteam.org #
# -date: 28/01/2004 #
# -comments:информация предоставлена только для ознакомления и рассматривается, #
# как пособие для администраторов. Данная статья не является #
# руководством к действию. Мы не несем ответственности за ущерб, #
# совершенный читателями этой статьи, и за противозаконное #
# использование предоставленной нами информации #

-= Манипуляции ценой товара в некоторых торговых тележках =-

Уязвимости, о которых я хочу сегодня рассказать, не новы, но несмотря на это,
некоторые новые системы электронной коммерции, появляющиеся в сети, подвержены им.

Начну я со старого бага, который заключается в том, что скрипт торговой тележки
не фильтрует символы количества покупаемого товара. Яркий пример такой уязвимости
нам дает торговая тележка с http://www.memoryworld.net.
Предположим, что мы выбираем из каталога товаров COMPACT FLASH CARD (3.3/5V) 128M
- COMPACT FLASH CARD (3.3/5V) 128M MEMORY CARD по цене $55.00 за 1 штуку.
В нашей торговой тележке лежит товар, и мы можем его оплатить. Но, допустим, мы
решили заказать себе еще одну COMPACT FLASH CARD (3.3/5V) 128M - COMPACT FLASH
CARD (3.3/5V) 128M MEMORY CARD, только теперь в окошке количества товара мы ставим
не 1, а -1. В итоге торговая тележка при пересчете товара попросит нас оплатить
$55.00 - $55.00 = $0.00
Вот так:

Description Quantity Price Total Price
Peripherals - COMPACT FLASH CARD (3.3/5V) 128M - COMPACT FLASH CARD (3.3/5V)
128M MEMORY CARD -1 $55.00 ($55.00)
Peripherals - COMPACT FLASH CARD (3.3/5V) 128M - COMPACT FLASH CARD (3.3/5V)
128M MEMORY CARD 1 $55.00 $55.00
Total $0.00

Естественно за $0.00 никто 2 COMPACT FLASH CARD тебе не пришлет, но если подойти
к делу грамотно, то в принципе снизить цену товара реально.

Второй пример плохо написанной электронной тележки дает нам шоп с
В этом случае цена товара прописана в скрытых полях html-кода и ее можно изменять.
Вот кусок кода:

California Valencia Oranges

$ 29.99 New Low Price Includes Standard S&H.

We will be shipping our CA Valencia Oranges Now through September!! Order Today!!

Вот скрытая строчка с ценой:
ее можно переправить на:

И транзакция с такой ценой проходит.

Copyright 2002-2004 by LwB Security Team. All rights reserved.

Дата створення/оновлення: 25.05.2018

All materials published on the website www.shram.kiev.ua are subject to copyright laws.
When citing any materials from the website, a mandatory reference is required. In case of copying materials for online publications, it is necessary to provide a direct and open hyperlink for search engines, regardless of the volume of the used materials, whether in full or in part. Materials published with authorship attribution are not subject to further republication or distribution in any form without the Administration's permission.
Paid materials or materials marked as "Advertising" are placed as advertisements. The rights to all images on this website belong to their respective authors.
All information provided on the website is for general information purposes only and does not constitute professional advice. Users of the website are solely responsible for any action they take based on the information provided on the website. The opinions of the authors of articles and comments on this website do not necessarily reflect the opinions and positions of the Administration.
By using this website, you agree to indemnify and hold the Administration and the website's owner harmless from any claim or demand, including reasonable attorneys' fees, made by any third party due to or arising out of your use of this website, your violation of these terms and conditions, or your violation of any rights of another person or entity.
Please consult a relevant expert before using any information provided on the website.
The Administration and the owner of the website are not responsible for any consequences resulting from the use of information posted on the website or for the content of advertising materials and comments posted on the website's pages.

Hits: 2 | Hosts: 2
Visitor IP (Country):
Made with powered by ShramCMS (buidTime 0.0475 sec.)
1999-2025 © www.shram.kiev.ua 

☕ Якщо ви вважаєте ці поради українською корисними, можете підтримати автора і, звичайно, отримуйте задоволення!

📩 Шановні, якщо хочете додати або відредагувати, надішліть повідомлення через форму контакту.
