Недавно, от нечего делать, копался в WebMoney Keeper Classic и заметил одну забавную особенность, которую можно использовать с некоторой пользой.
Как известно, оплата через Keeper Classic не интегрируется непосредственно в установленные на компьютере браузеры, то есть инициировать оплату можно из любого приложения, если кипер запущен. Система инициации простая: при включении кипер поднимает обычный веб-сервер (на 2803 порту), который при определенном запросе к нему отображает пользователю окно с деталями о платеже. Мне казалось, что при такой схеме было бы логично предположить, что веб-сервер биндится на localhost, однако это не так.
Кипер позволяет обращаться к своему веб-серверу извне, таким образом, если вы не сидите за роутером/прокси/чем-угодно-защищающем-порты и у вас запущен кипер, то любой может сформировать и отправить вашему киперу запрос, в результате которого вы увидите окно оплаты, например, такое:
Содержимое полей "продавец", "сумма" и "товар" можно формировать самостоятельно. Конечно, данное действо не позволяет провести сколько-нибудь деструктивное воздействие на целевой компьютер, но все же есть несколько негативных моментов:
– Можно задалбывать пользователя всплывающими окнами (некоторые после этого начинают полагать, что их компьютер взломали)
– Если пользователь введет что-нибудь в поле для кода подтверждения, то в ответ вы получите URL с редиректом, содержащим его WMID
– Теоретически возможно купить таким образом товар за чужой счет, если перейти в веб-интерфейсе на форму оплаты какого-либо товара, подсмотреть данные платежа в исходном коде страницы, число на картинке (код подтверждения), а потом отправить запрос с интересующей суммой какому-нибудь недалекому человеку и в описании товара указать что-нибудь вроде: Введите код 12345
Возможно, существуют и другие опасности, например, я заметил, что при указании больших чисел в качестве суммы платежа начинает частично затираться содержимое поля с описанием товара. В общем, будьте бдительны.
Для тех, кто хочет поиграться с составлением запросов - маленькая программка на шарпе, которая позволяет указывать ip, порт, сумму, описание платежа и отправлять запрос.
В нижнем поле окна программы отображается ответ сервера.
Скачать: zip
Интересно, поэксперементируем.
хах) круто)
Вас уже ищут !
а че искать то, человек дыру нашел, и опубликовал, за это награждать надо.
Дыру?cool story bro
Исходник можно?
В рефлекторе открой и посмотри, всё прозрачно
По сути, можно сделать "рассылку" по диапазонам, кто-кто, да и нажмёт оплатить)
Очень благодарен за ваш труд в IT безопасности реально нужные проги которые продают ну или не найти в просторах инета!
А можна на Perl утилитку переписать ? А то я шарп не знаю, а поглядеть что там довольно интересно :)