image

Gratis shoppen door lek in digitaal winkelmandje

woensdag 31 oktober 2012, 10:38 door Redactie, 7 reacties

Een populaire open source e-commerce webapplicatie bevat een beveiligingslek waardoor consumenten gratis kunnen shoppen. Het probleem bevindt zich in TomatoCart zo waarschuwt het Amerikaanse Computer Emergency Readiness Team (US-CERT). TomatoCart 1.1.7 in combinatie met de PayPal Express Checkout module in sandbox mode, en mogelijk ook andere versies, hebben met een ontwerpfout te maken.

Daardoor kan een aanvaller producten gratis of tegen een aangepaste prijs aanschaffen. Hiervoor moet de redirect URL van PayPal die teruggaat naar TomatoCart op zo'n manier worden aangepast, dat de webwinkel denkt dat er betaald is. Aangezien er nog geen update beschikbaar is krijgen webwinkels het advies om geen betalingen via de PayPal express module te accepteren.

Een soortgelijk lek werd onlangs ook in osCommerce ontdekt.

Reacties (7)
31-10-2012, 10:48 door Security Scene Team
Nice, Winkeldiefstal krijgt zo een gehele nieuwe betekenis. en 't mooie is, GEEN CAMERAS!! ik zeg: HAMSTERENNNNNNNNNNNNNNNNNNNN !!!!!!
31-10-2012, 11:11 door Anoniem
Geen camera's? Volgens mij zullen ze je wel kunnen vinden aan de hand van je IP-adres. Om maar te zwijgen van het adres waar je alles naar toe laat sturen.
31-10-2012, 11:16 door Anoniem
Hamsteren??????????
Niet verwarren met STELEN hoor!!!!
31-10-2012, 11:18 door Anoniem
Ik heb even gekeken... Ook in versie 1.1.8 nog geen oplossing volgens de release notes. Ik vraag me af of ze 't überhaupt gemerkt hebben.
31-10-2012, 14:40 door ernie
Door Security Scene Team: Nice, Winkeldiefstal krijgt zo een gehele nieuwe betekenis. en 't mooie is, GEEN CAMERAS!! ik zeg: HAMSTERENNNNNNNNNNNNNNNNNNNN !!!!!!
Een echte security pro, zo te horen jij ;P
31-10-2012, 14:52 door Security Scene Team
Door Anoniem: Geen camera's? Volgens mij zullen ze je wel kunnen vinden aan de hand van je IP-adres. Om maar te zwijgen van het adres waar je alles naar toe laat sturen.

héhé nog niet eens. daar heb je katvangers voor. en voor je ip adres, heb je tor, tunneling of proxy chaining. Vpn is ook een optie maar die worden meestal gelogged.

dus: Hamstereeeeeeeeeeeeeeeeeeeennnnnn
31-10-2012, 14:57 door Security Scene Team
Door ernie:
Door Security Scene Team: Nice, Winkeldiefstal krijgt zo een gehele nieuwe betekenis. en 't mooie is, GEEN CAMERAS!! ik zeg: HAMSTERENNNNNNNNNNNNNNNNNNNN !!!!!!
Een echte security pro, zo te horen jij ;P

ik zie me zelf niet als een Pro, ik doe wat ik kan en niet wat ik niet kan en dat laatste is wat veel mensen hier wel doen.. Dit soort berichten zijn eigenschuld, moeten ze maar fixen. entja wat valt hier nuttigs over te zeggen als "Security Pro"? Behalve: Tja Slechte coding werk.. (of moeten we hier weer zinloze discussies over voeren die geen enkele waarde toevoegen? zoals dat altijd hier gebeurt?)

je kunt hier alleen maar geintjes over maken, want veel nuttigs zeggen hierover valt niet te doen. (in de underground scene noemen ze dat met een mooi woord "Security FAIL"

en ik dacht dat de meeste intellectuelen hier wel een geintje konden hebben, maar blijkbaar niet?

Maar als er een Taart bij de hema site op 0,00 euro staat (door n vergelijkbaar foutje) bestellen mensen massaal zal me niks verbazen dat mensen van hier dat ook toen die tijd gedaan hebben. en weetje? DAT KAN DAN WEER WEL (raar hé? das precies hoe een mens werkt met name de nederlanders). En als je hier een geintje over maakt zijn mensen snel met -1. ik noem dat: hypocriet en achterbaks.

Geintje moet kunnen, als jullie dat al niet eens kunnen hebben moetje niet achter een scherm gaan zitten.

oh ja en de -1 ? zegt alleen maar dat de gene zwakbegaafd is en geen enkele greintje gevoel van humor heeft.
(behalve de security experts die zullen wel weer eventjes gelachen hebben, omdat zij snappen wat er bedoelt word, en nog harder lachen ze om dit soort mensen met hun idiote -1)

Alias wanna-be Security Experts (boekenworm security mentaliteit) (of van die Google Security Experts, dingen van google halen en doen alsof het hun eigen kennis is lmfao) of van Certified secure Security Experts. met hun behaalde Certificaten (das allemaal kiddy spul) (en zich nog 1337 voelen ook omdat ze EINDELIJK die test hebben weten afteronden na vragen te stellen hier op t forum.) die tests doen maar weinig mensen hier met de ogen dicht. de rest stelt er vragen over hoe het optelossen, en zelfs de bekendste reaguurders van hier hebben alleen maar zinloze berichten te melden. zonder met oplossing(en) te komen.

nu we toch bezig zijn:
Ook is het niveau erg laag hier, dat komt door VEEL van dit soort types dus. er werd al eens eerder overgeklaagd door een mede security geinteresseerde die wél serieus is in zijn doen en laten op internet. intotaal heb ik er 5 goede mensen hier gezien met serieus goede oplossingen enof alternatieven.

de rest?

die werken met -1 als iets hen niet aanstaat.

Dus mensen ik zeg het nog maar een keer: grijp je kans nu het nog kan, HAMSTERENNNNN Lmfao (laat de -1 's maar binnen stromen)

U mad now?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.