Sistema de fidelización o cómo vivir gratis

Buen dia, Habrovsk. En relación con el gran pánico del último artículo, les presento la segunda versión. Todo es simple, sin mocos. El sistema de lealtad es un gran agujero. Después de algunos experimentos, llegamos a la conclusión de que una gran cantidad de sitios donde se usa dicho sistema están completamente desprovistos de lógica cuando se trata de usarlo.


Por supuesto, alguien pudo implementar al menos una protección simple pero simple, pero alguien imagina Internet de esta forma:



En general, muchos ataques de piratas informáticos ocurren casi de esta forma. Solo en las películas te mostrarán un montón de artilugios del futuro, cuya funcionalidad no tiene sentido en el presente.

Vayamos a los negocios. Por ejemplo, tomaré algunos sistemas donde puede haber un karzh masivo.

Comencemos con el OBI .

Diré de inmediato que para mí ha sido poco estudiado. Sus vagas reglas sobre el uso de bonos me ponen en diferentes dudas. En primer lugar, tienen varios programas de bonificación. Por una de ellas solo puede pagar en tres ciudades de Rusia, por la otra, en total. Al mismo tiempo, los bonos no se aplican a todos, sino solo hasta el 50% del valor de los bienes. Pero construir una casa a mitad de precio ya es bueno.

En general, OBI también tiene una aplicación donde puede iniciar sesión en nuestra tarjeta y pagar generando un código de barras.

Vaya a la página de registro con un ligero toque de varita mágica:


Llegamos al formulario de registro de no nuestra tarjeta:


Bueno, llénalo. Por cierto, aquí el sistema de cálculo de tarjetas es el mismo que en la "Encrucijada". Para que quede claro - Algoritmo Luna . Completé todos los datos, indiqué un número de tarjeta al azar. En el proceso, capté una solicitud de registro a través de un sniffer.
Lo repitió varios cientos de veces en un ciclo. No hubo errores. El sitio manejó mis solicitudes de manera bastante eficiente y devolvió una respuesta en json:

"data":{"registration":null},"errors":[{"message":"\u041e\u0448\u0438\u0431\u043a\u0430 \u043f\u0440\u0438 \u0437\u0430\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0438 \u0444\u043e\u0440\u043c\u044b.","type":"validation","locations":{"path":"\/work\/obiclub.ru\/app\/GraphQL\/Mutation\/Frontend\/RegistrationMutation.php","line":109},"safe":true,"validation":{"cardnum":["\u041d\u0435\u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 \u043d\u043e\u043c\u0435\u0440 \u043a\u0430\u0440\u0442\u044b. \u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u0441\u0442\u044c \u0432\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445."]}}]}

En la variable cardnum estaba el siguiente texto, que se traduce del griego Unicode:

"Número de tarjeta incorrecto. Verifique la exactitud de los datos ingresados ​​»

Es interesante que para todas mis solicitudes de una IP no hubo bloqueo. Por otra parte, la sesión vive mucho tiempo. Lo comprobé después de un día, la respuesta fue. Al menos podría restablecer las cookies, ingresar el captcha y luego un "facepalm" sólido. Escribir software no es difícil, solo caerá bajo
Reino Unido RF Artículo 273 , ¡y esto ya es peligroso!

Bueno, construimos una casa. Deberíamos repostar nuestro auto y dar una vuelta por la ciudad. Podría dar un ejemplo aquí con las estaciones de servicio más populares, pero en vista de algunas consideraciones, no haré esto. Todos tenemos un sistema, pero el enfoque es diferente, por lo que lo demostraré en la estación de servicio más simple y poco conocida.

AZS-ETALON.RU . Me llamó la atención lo que hay en mi ciudad. El principio de funcionamiento es similar: hay una tarjeta de fidelidad; hay un sitio donde registramos una tarjeta; Existe una solicitud a través de autorización en la que puede pagar en la caja. Bueno, generalmente es divertido.

Vaya al formulario de registro de tarjeta - lk.azs-etalon.ru/registration.php


Rellene los datos, haga clic en "Hackear" "Registrarse". Obtenemos la respuesta

"Número de tarjeta no válido"

lo que significa que ingresaremos el siguiente número en la cuenta y así sucesivamente hasta que encontremos combustible gratis para nuestro amigo de cuatro ruedas.

- Automatizar?
- Fácil

Capturamos el paquete para el registro. Obtenemos lo siguiente

Encabezados HTTP:


POST-DATOS:

Lo llevamos a una forma conveniente, lo ajustamos a CURL, lo martillamos en un bucle y lo ponemos en una secuencia. El sitio emitirá:

"RќµІµЂЅ‹ № ЅѕјµЂ є ° Ђ‚ ‹"

que traducido del alemán CP1251 -

"Número de tarjeta no válido"

Establecemos la condición para la aparición de otra respuesta y encontramos "zumbido" . El brutus más simple está listo.

No hay captcha, bloqueo de IP para una gran cantidad de solicitudes; no, ni siquiera hay una verificación inicial para la entrada de datos del cliente. Oh ok Y así sigue.

Veamos una bestia más. Es mucho más grande que otros, pero aún vulnerable.

Tape ... Just - TAPE

Vaya a getetepes lk.lenta.com/authentication/login/activate-card:


Suponemos que se trataba de una tarjeta no activa previamente válida. Se nos pide que ingresemos un número de teléfono.



Bueno, ingrese su móvil, luego el resto de los datos, incluida la contraseña. Eso es todo, estamos en la cuenta personal.

Aquí, por así decirlo, todo es similar a los sistemas anteriores. Solo es importante capturar las solicitudes necesarias y luego repetirlas en la secuencia deseada.

Pero empíricamente, se encontró cierta vulnerabilidad mala. Al ingresar el código de verificación incorrecto, ¿qué pasó? Nada, no nos dejaron entrar al LC. Esto es lógico, muchachos.


Pero experimentalmente, ¡se verificó lo siguiente! Se capturaron las solicitudes de confirmación del código, en el que todos los parámetros estaban claros:

{"Código": "12345667890", "tarjeta": "800011999193", "teléfono": "91234567789"}

No analizaré cómo exploté esta vulnerabilidad, pero te lo contaré brevemente. Con él, simplemente puede omitir el código y siempre ingresaremos a la cuenta de usuario sin confirmar el número. ¡Y esto significa que podemos indicar cualquier número!

( Actualmente estoy tratando de contactar al soporte de TAPE )

¿Por qué todo esto? Hagamos un balance.

Hay muchos servicios con un sistema de fidelización. Puede buscarlos sin cesar y puntos "brutos". Si te digo, ¿qué es posible volar un avión para estos puntos?

Aeroflot y S7 también tienen un sistema de bonificación. Los puntos son millas. Podemos ganarlos de, por ejemplo, socios. Aeroflot, por cierto, tiene alrededor de 2 mil de ellos. Incluyendo, casi todos los principales supermercados, incluido nuestro infame X5 Retail Group. Puede canjear puntos por millas directamente en el LC de la misma encrucijada. Bueno, y así en casi todos los demás servicios. Por cierto, este hecho del robo de millas de una aerolínea se registró oficialmente. Estuche de alto perfil, no sin sacrificio.

Como resultado, no todo es tan simple como parece. Hay personas que viven de estos puntos. Bueno, si estas bolas te pertenecen formalmente, entonces alguien está sentado en tu cuello. Los kulkhackers pueden comer, vestirse, viajar en automóvil, volar por las ciudades y mucho más de forma gratuita.

PD: Gracias por el hecho de que varios oficiales de seguridad de X5 me contactaron a la vez. Hubo más discusión con uno sobre “de quién son los puntos: clientes o encrucijada” que el tema de la seguridad del sistema. Pero creo que arreglarán todo, ya que todo el Consejo de Seguridad ya lo sabe. De inmediato, bien. Deberían rendir homenaje. Lo principal es mejorar.

Bueno, aquí tienes una encuesta.