Gå til innhold

17-åringer har funnet alvorlige feil i en rekke norske nettbutikker

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
FB.049299160

FB.049299160

Skrevet
Skrevet

"Stol aldri på frontend" eller data som kommer derifra. Det forundrer meg litt at det lages nettbutikksystemer som i det hele tatt bruker prisinformasjon generert av frontend. Det eneste som backend bør behandle fra frontend, er hvilke varer og antall (og evt. kundedata, men dette ligger som regel lagret med henvisning fra cookie). Varenummer og antall må deretter valideres (henholdsvis om varene finnes, og antall er positivt og evt. innenfor rimelighetens grenser), og hva som skal betales regnes ut i backend. Det som kunden ser av totalsum i frontend må kunne være ment som informasjon, og det som evt. sendes til frontend i form av annen betalingsinformasjon er kun en unik referanse (token, ikke løpenummer) til informasjon mellomlagret i backend...

  • Liker 5
Lenke til kommentar
MsSupporter

MsSupporter

Skrevet
Skrevet

"Stol aldri på frontend" eller data som kommer derifra. Det forundrer meg litt at det lages nettbutikksystemer som i det hele tatt bruker prisinformasjon generert av frontend. Det eneste som backend bør behandle fra frontend, er hvilke varer og antall (og evt. kundedata, men dette ligger som regel lagret med henvisning fra cookie). Varenummer og antall må deretter valideres (henholdsvis om varene finnes, og antall er positivt og evt. innenfor rimelighetens grenser), og hva som skal betales regnes ut i backend. Det som kunden ser av totalsum i frontend må kunne være ment som informasjon, og det som evt. sendes til frontend i form av annen betalingsinformasjon er kun en unik referanse (token, ikke løpenummer) til informasjon mellomlagret i backend...

 

Det er ikke alle som programmerer som vet forskjell på frontend og backend vet du.

Lenke til kommentar
Sandormen

Sandormen

Skrevet
Skrevet

Pen-testing uten eiers samtykke er uten tvil ulovlig her i landet.

Riktig, men om noen gjør det mot meg, finner hull og forteller meg det, ville jeg heller sette pris på den enn å føle meg krenket og såra.

At det ligger i den litt mer shady del av det etiske og moralske spekteret er riktig nok, men det er nok av shady ting på internett til at man ikke bør overreagere på noen som bruker den grå-hvite hatten, og ikke den vantasorte hatten. ?

Lenke til kommentar
DirekteDemokrati

DirekteDemokrati

Skrevet
Skrevet (endret)

Dette blir jo nesten hacking eller craching av nettsiden.

Så vet ikke om slikt burde belønnes, men greit å være klar over dette.

 

Men siden orderen ville aldri gått gjennom tviler jeg på dette er noe stor sak.

Er slik man finner sikkerhets hull. Mange som har dette som jobb. Enten de ansettes av firma direkte, eller at de har premier når noen opplyser om feil.

 

Når man er i treningsfasen blir det ofte tilfeldige. Men så lenge man opptrer på en ærlig måte som dette er det inget problem.

Endret av DirekteDemokrati
  • Liker 1
Lenke til kommentar
DirekteDemokrati

DirekteDemokrati

Skrevet
Skrevet (endret)

Jeg oppfordrer dere til å prøve å hacke https://www.enil.no. Tror det kunne vært en morsom oppgave.

 

Det vanker stor takk og gavekort dersom dere finner sikkerhetshull - noe som jeg selvfølgelig håper dere ikke gjør :-)

Regner med du ikke tenker på det og legge servern flat? For det bør være lett med mindre du er google eller microsoft :p

Endret av DirekteDemokrati
Lenke til kommentar
DanielChristensen

DanielChristensen

Skrevet
Skrevet

Vi er inne å ser nå men det ser ut som det ikke går ann å bestille vanlig engang?

 

Jeg kom meg igjennom ved å bruke 

window.loadPayPal()

Bestilte nettop 0.000000000000000000000000000000000001 av en gjenstand fikk også en koselig ordrebekreftelse :)

 

uuvdn.png

 

Dette er jo langt i fra ille men det er noe, Ville nokk ikke kalt dette et "Sikkerhetshull" Mere et "Sikkerhetsnull" mange nettbutikker husker og sjekke - men ikke 0.

Lenke til kommentar
runekm

runekm

Skrevet
Skrevet

Veldig bra jobba! :-) Jeg klarer ikke å få sendt deg 0,000000000000000000000000000000000001 flasker med Winforce Isotone, men du skal i alle fall få et lite gavekort :-)

 

Jeg var midt i noen større kodeendringer i butikken, da jeg leste artikkelen i stad. Holder på å fikse butikken sånn at alt skal være 100% live hele tiden. Dvs at snart vil det være sånn at i det øyeblikket vi oppdaterer en pris, kampanje eller sideinnhold backend, vil dette umiddelbart også bli oppdatert hos alle kundene som har de nettsidene oppe, uten at de behøver å foreta reload. Dette er ikke fullstendig ferdig, men blir lansert snart.

 

Men uansett da jeg leste artikkelen, ble jeg klar over at det kanskje ville være mulig å kjøpe negative antall av varer ved å manipulere dataene. Jeg patchet dette i hui og hast samtidig som jeg kommenterte her, og lanserte så en nye versjon av butikken som inkluderte all den andre koden som har vært endret på den siste tiden (absolutt ikke den måten man skal deploye ting på!) - og så dro jeg ut uten å ha internettdekning. Det medførte at betalingsløsningen var brukket en liten stund der. Den er oppe igjen nå.

 

Ser at du har funnet ut av nettbutikken vår også har implementert dark mode. Dersom du leter bittelitt, vil du også kunne finne en god del "easter eggs". Et tips er konamikoden, men det er flere :-)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...