forum.opennet.ru

"Более 5900 интернет-магазинов поражены вредоносным ПО для пе..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "Более 5900 интернет-магазинов поражены вредоносным ПО для пе..."	+/–
Сообщение от OramahMaalhur (ok), 15-Окт-16, 13:59
Один крупный украинский интернет-магазин одежды имел в своём самописном говнодвижке систему бонусов за покупки, где кол-во бонусов рассчитывалось на джаваскрипте и добавлялось в форму в виде input field с disabled... естессно, никакой проверки на бэкэнде. Я им даже пошаговую инструкцию отправлял, как зачислить себе много денег, даже в офис однажды заходил — не шибко умные "менеджерши" лишь поморгали глазками и пообещали, что "передадут начальству". Лишь спустя месяц починили. Там же товары с кавычкой в имени ' вызывали на определённой странице оплаты sql error с детальным описанием проблемы и структурой таблицы (имя товара сохранялось в куках!). Но убедить их в том, что на сайте была серьёзная уязвимость, так и не удалось. Это ведь уже не очевидно дирехтурам, слово "деньги" отсутствует в описании.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Более 5900 интернет-магазинов поражены вредоносным ПО для пе..., opennews, 15-Окт-16, 11:04 [смотреть все]

Им на нормальных сысадминов денег не хватило , Аноним, 15-Окт-16, 11:04 (1) //
- денег всегда хватает, просто жлобам их платить всегда что то не даёт , sergio78, 15-Окт-16, 11:35 (2) //
  - Жлобовство и не даёт 8230 , Имя, 15-Окт-16, 19:45 (27)
  - Гипножаба ментально душит , КЭП, 15-Окт-16, 23:31 (37)
  - Вы зря так, весьма крупные с точки зрения пользователя интернет-магазины часто с, Аноним, 17-Окт-16, 11:08 (110)
- Сысадминами там, скорее всего, вообще не пахло Эти просто бизнес-схема, когда , YetAnotherOnanym, 15-Окт-16, 11:38 (3) //
  - Ну, ваще-то, в случае магазинов 8212 это так и работает Конструктор магазино, Алексей Морозов, 15-Окт-16, 22:36 (34) //
    - Ну что ты как маленький Если хацкеры поломали сайт - они могут например показыв, Аноним, 16-Окт-16, 01:05 (47)
      - Поставим вопрос по-другому Чем веб-макака с формочкой магазина лучше любого дру, Анонимный Алкоголик, 17-Окт-16, 05:02 (100)
      - Ну так нормальный человек жмет кнопку оплатить и попадает настраницу пейпала и, Crazy Alex, 18-Окт-16, 22:32 (116)
    - Дорогие коллеги, не ставьте минусов этому комментарию Очень хочется знать, скол, YetAnotherOnanym, 16-Окт-16, 11:54 (60)
      - Если вам интересно, обзвоните студии с вопросом сколько у вас будет стоить инте, тоже Аноним, 16-Окт-16, 13:17 (67)
      - А какой может быть другой подход Если предприниматель хочет начать торговать в , Колюня, 17-Окт-16, 12:27 (112)
      - Я чо-та как-та теряюсь Гражданин хороший, оторвитесь от линукзов и интернетов О, Алексей Морозов, 20-Окт-16, 16:42 (124)
    - Мы ж говорим не про саму бизнес-схему, а то, что в результате её макакского подх, Kodir, 16-Окт-16, 15:36 (69)
      - Как будто решение задачи магазин за три дня и три тысячи на Жабе или дотНете н, тоже Аноним, 16-Окт-16, 15:38 (71)
        
        А ты что, программы на дельфи и 1С не видел Да и жабисты с дотнетчиками отличаю, Аноним, 16-Окт-16, 16:06 (73)
        
        вот так пробрало поток сознания, родившийся от горящей задницы во время поедани, nama, 17-Окт-16, 08:07 (103)
- А ссысадмин-то тут при чтом Это вопрос организации путей данных при аквайринге А, Sabakwaka, 15-Окт-16, 15:21 (14) //
  - Magento - опенсорс Стандартный набор - php mysql, так что баги в геноме - это н, Аноним, 15-Окт-16, 16:18 (17) //
    - пхп-мхп тут не при чтом Страница с формой платежа на сайте магазина 8212 НЕ д, Sabakwaka, 15-Окт-16, 22:44 (35)
      - А вот еще одна вебмакака Вопрос что помешает хакерам на поломаном сайте показы, Аноним, 16-Окт-16, 01:35 (49)
        
        Если бы это не была общепринятая практика попорукства, то пользователь в этом сл, Аноним, 16-Окт-16, 11:54 (61)
        
        Ты слишком оптимистично оцениваешь интеллект юзеров Кроме того, никто вообще , Kodir, 16-Окт-16, 15:41 (72)
        1 Бы - не считается 2 Пользователь ни разу не эксперт в процессинге кредитных , Аноним, 16-Окт-16, 16:21 (74)
        
        Я вообще не пойму, в чём проблема Есть СМС-подтверждения, есть возврат, который, Crazy Alex, 18-Окт-16, 22:40 (117)
      - Хомячёк нажал оформить заказ , выскочила форма ввода номера карты, хомячёк ввёл, YetAnotherOnanym, 16-Окт-16, 12:16 (62)
        
        Учитывая, что модные стильные молодежные браузеры прячут эту самую строку и да, КО, 16-Окт-16, 12:34 (64)
        ХомячОк нажал оформить заказ , 8212 НЕ выскочила форма, хомячок В этом смысл, Sabakwaka, 17-Окт-16, 01:15 (96)
        Ну раз не интересует, то всё в порядке Хоть там и шиш без масла , Анонимный Алкоголик, 17-Окт-16, 05:16 (101)
        Собственно, если ты штатовский хомячок - то это самый правильный подход А дальш, Crazy Alex, 18-Окт-16, 22:44 (118)
  - Вообще-то позволяют Но те, кому такое позволяют должны проводить через себя дос, pkdr, 16-Окт-16, 12:53 (65) //
    - Нормально реализуют Клиент в полной безопасности , Sabakwaka, 17-Окт-16, 01:39 (97)
Радуют ответы некоторых интернет-магазинов после отправке им жалобы о мегадыре , Аноним, 15-Окт-16, 11:43 (4) //
- Ахахах, спасибо, поржал Скажите спасибо, что они ещё не говорили, что вы хакер и, Аноним, 15-Окт-16, 12:27 (7)
- Один крупный украинский интернет-магазин одежды имел в своём самописном говнодви , OramahMaalhur, 15-Окт-16, 13:59 (11) //
  - С такими можно не мелочиться и просто слить баг в паблик Когда к ним начнут при, Аноним, 15-Окт-16, 17:39 (21)
  - одним словом, хохлы, nama, 17-Окт-16, 08:15 (105) //
    - Не хохлы, а идиоты которые есть везде , Аноним, 17-Окт-16, 08:20 (106)
Заглянул в Вижу строчкуКто-нибудь может объяснить, зачем эти девятки и единицы , 5kbps, 15-Окт-16, 11:54 (5) //
- Могу Надо задумать числа от 11111111 до 999999999 Есть функция math random, он, Владимир, 15-Окт-16, 12:07 (6) //
  - Пря детектив какой-то Читал , затаив дыхание , Анином, 15-Окт-16, 12:59 (8) //
    - Вот только почему 11111111 а не просто 10000000 , _hide_, 17-Окт-16, 10:26 (109)
  - В жабаскрипте Math random выдаёт числа в интервале 0, 1 https developer m, Аноним, 15-Окт-16, 13:06 (9)
  - 999999999 11111111 1 А все программисты делают это настролько дибильно Неужели, кверти, 15-Окт-16, 20:57 (33) //
    - Тогда неясно будет, откуда взялось именно такое число, и придётся пояснять в ком, Стог сена, 15-Окт-16, 23:38 (38)
      - Более того - перепроверять каждый раз при поиске ошибок в этом коде , тоже Аноним, 16-Окт-16, 00:05 (44)
        
        Что значит не ясно min, max число1 число2 И если min и max 0 и 1 соотве, кверти, 16-Окт-16, 02:16 (50)
        
        Вы не поняли сказанного Дело в том, что компьютер априори знает математику, и п, тоже Аноним, 16-Окт-16, 15:37 (70)
        
        И тут я почувствовал себя старым Ведь я помню ещё FDIV bug в первых Пентиумах , Сириус, 16-Окт-16, 22:11 (93)
        
        В память о котором AMD самонадеянно назвали свой флагман Бульдозером , тоже Аноним, 17-Окт-16, 00:43 (94)
        Для человека уже аццкинепостльная задача сделать в уме 988888889 1 , Аноним, 17-Окт-16, 09:26 (107)
        
        Ну не микроконтроллер же программируем, где умножение сдвигом делают В вебе всё, НяшМяш, 17-Окт-16, 12:50 (113)
        
        Это при том, что об этой строке УЖЕ задали вопрос, в треде которого ты отвечаешь, InuYasha, 13-Май-19, 11:45 (128)
        
        И ты хочешь сказать что с одного взгляда подсчитал количество единиц и девятокв , мимо проходил, 16-Окт-16, 20:56 (88)
        
        Я хочу сказать, что с одного взгляда видно, что ошибки подсчета здесь нет Потом, тоже Аноним, 16-Окт-16, 21:26 (91)
  - Возможно, для того, что Math random выдаёт значения из открытого интервала 0,, Стог сена, 15-Окт-16, 23:43 (40)
- Это яваскрипт, детка Он простой и читаемый Но состоит из костылей чуть более ч, Аноним, 15-Окт-16, 18:34 (25) //
  - И в чем здесь костыль Неужто отсутсвие встроенного варианта random работающего , angra, 15-Окт-16, 20:05 (29) //
    - Наверное в том что код выглядит как свалка костылей Как там говорится Сам либу, Аноним, 15-Окт-16, 20:27 (30)
      - Еще раз, в чем костыльность именно этой строки кода Покажи, как ее переписать п, angra, 16-Окт-16, 00:40 (46)
        
        myid - format ms getTime , random randint 11111111,999999999 , oopsy, 16-Окт-16, 02:25 (51)
        
        Молодец, подтвердил то, что я сказал раньше отсутствие встроенного варианта ra, angra, 16-Окт-16, 06:52 (55)
        
        Просил переписать на Ъ-языке Так там там есть подходящие функции it depend бан, oopsy, 16-Окт-16, 14:03 (68)
        
        Бедный С, это же самый костыльный язык из всех распространенных, в нем нет таког, angra, 17-Окт-16, 02:23 (98)
        
        Не ушлепищно, очевидно, выглядит random 100500 Дающий random от 0 до 100500 Э, Аноним, 16-Окт-16, 16:30 (75)
        Зачем ТРУЪ ЯП Вот как правильно писать на javascriptgetRandomIntInclusive 111111, мимо проходил, 16-Окт-16, 21:07 (90)
А киньте актуальную ссылку на список магазинов , Аноним, 15-Окт-16, 13:35 (10) //
- Так в новости есть https web archive org web 20161014133252 https gitlab co, Аноним, 15-Окт-16, 14:32 (12)
- И на pastebin http pastebin com rYqEeuNm, Аноним, 15-Окт-16, 14:59 (13)
Так значит Гитлаб такое же продажное гoвно как и Гитхаб А есть альтернативы неп, Где правда, 15-Окт-16, 15:52 (15) //
- Тут скорее нужно искать распределенную замену Git т е систему без центрального , Аноним, 15-Окт-16, 17:25 (19) //
  - Хм Нужно подумать может git , Аноним, 15-Окт-16, 17:39 (22)
  - Подними у себя GitLab и пользуй, это ж не проприетарный Github , Аноним, 15-Окт-16, 17:58 (24)
  - Сам по себе git вообще никаких серверов не требет Можешь хоть флоппинетом перек, Аноним, 15-Окт-16, 20:35 (32)
- Да, свой сервер На всякий случай желательно на абузоустойчивом хостинге Еще лу, Аноним, 15-Окт-16, 20:31 (31)
ИсследЫватель прошёлся по платным порносайтам -вот вам и статистэга Ждём дальне, Аноним, 15-Окт-16, 16:17 (16)
Дайте им крепкого, сочного пендаля , Аноним, 15-Окт-16, 17:19 (18) //
- Это легко Приходишь к ним со скидкой в 110 , они очень удивятся , Аноним, 15-Окт-16, 18:36 (26)
По граблям к звездам, или тернистый путь пользователей CMS, написанных на PHP , Аноним, 15-Окт-16, 17:46 (23) //
- От постинга к нобелевской премии, или тернистый путь неосилившего PHP , Аноним, 15-Окт-16, 23:56 (42) //
  - Хренов тот язык, который позволяет писать говно, не ломая при этом кисти рук Ес, НяшМяш, 17-Окт-16, 12:55 (114)
Так выглядит хостинг здорового человека https about gitlab com 2016 10 15 git, Аноним, 15-Окт-16, 23:21 (36)
Что делает осел в архивах , Аноним, 15-Окт-16, 23:43 (39) //
- Это не осёл, это директор гитхаба Попал на лаве и не знает, что делать теперь , Аноним, 15-Окт-16, 23:54 (41)
- То же, что и ты в апельсинах , Led, 15-Окт-16, 23:58 (43)
Я в таких магазинах не отовариваюсь , Аноним, 16-Окт-16, 00:40 (45) //
- Спасибо что сообщили Держите нас в курсе, Аноним, 16-Окт-16, 04:59 (54)
Более 5900 интернет-магазинов поражены вредоносным ПО для пе..., Дуплик, 16-Окт-16, 01:20 (48) //
- Можно использовать Визу виртуал по типу киви К тому моменту как кардер доберет, Аноним, 16-Окт-16, 16:42 (76)
- При микроплатежах, например, у Палки комиссия конская по сравнению с обычным пла, тоже Аноним, 16-Окт-16, 17:03 (79)
А какой толк со всех этих данных при том, что для сетевых операций банки уже дав, Онаним, 16-Окт-16, 03:31 (53) //
- Ага прям банк, и прям требует , лол, 16-Окт-16, 08:42 (56) //
  - Ну да Сбербанк требует Неудобно, но двухфакторная аутентификация Приходит код, Аноним, 16-Окт-16, 09:55 (57) //
    - Это случайно не тот же самый сбербанк, который утверждает, что мой мобильный опе, Аноним, 16-Окт-16, 11:50 (59)
    - И как знание этих номеров поможет хакеру получить смс с одноразовым кодом , Аноним, 16-Окт-16, 12:19 (63)
      - SS7 signalling вообще никак не защищен и джентльмены верят друг другу на слово , Аноним, 16-Окт-16, 16:45 (77)
      - Пользователь вобьёт его в форму на взломанном сайте Ваш Кэп , YetAnotherOnanym, 16-Окт-16, 20:09 (87)
        
        Что он вобьет вместо одноразового пароля , Аноним, 16-Окт-16, 21:07 (89)
    - та прям, карта сбрбнк, покупи с али без смс кода Публичная карта должна быть, то, bs0d, 17-Окт-16, 03:08 (99)
    - Т е покупатель не вбивает его тут же рядом для отслеживания доставки и т д и т, КО, 17-Окт-16, 09:54 (108)
  - В РФ 3D-secure очень популярен, почти обязателен А на очень многих сайтах с при, Аноним, 16-Окт-16, 11:44 (58) //
    - Вообще, банковская система в США всегда славилась некоторой технической отсталос, pkdr, 16-Окт-16, 13:17 (66)
      - Там безопасность держится на здоровенной кредитной истории Другими словами, бан, Crazy Alex, 18-Окт-16, 22:55 (119)
- Стим, например, не требует , Del, 16-Окт-16, 17:48 (86)
Если бы магазины перенаправляли не платежные шлюзы вместо того чтобы пилить свои, Аноним, 16-Окт-16, 17:04 (80) //
- Выше несколько раз разжевали очевидное если на сайт подсажен троян, он легко по, тоже Аноним, 16-Окт-16, 21:31 (92)
- Для этого уже и payment api добавили в стандарт Ждем массового использования , Аноним, 22-Окт-16, 17:23 (125)
Итого новость 2,22 из проверенных сайтов оказались чем-то заражены Жуть-то как, Black Paladin, 17-Окт-16, 11:28 (111) //
- Более интересным было бы число пользователей этих магазинов , KBAKEP, 17-Окт-16, 14:30 (115) //
  - Я ради интереса проглядел украинские - какая-то редчайшая хрень, о которой, наве, Crazy Alex, 18-Окт-16, 22:57 (120)
Хм, а каким боком тут скимминг мошенничество путем изготовления копии магнитной, beos, 20-Окт-16, 09:19 (121) //
- Магнитная полоса тут непричём, это лишь один из частных случаев Суть скимминга , Аноним, 20-Окт-16, 11:05 (122) //
  - В данном случае чистейший фишинг Ибо именно в этом случае мошенники НЕ получ, beos, 20-Окт-16, 11:18 (123) //
    - Обоим ораторам пора уже знать, что помимо XOR есть ещё и OR Т е скимминг путём , InuYasha, 13-Май-19, 11:56 (129)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру