Sistema de fidelidade ou como viver de graça

Bom dia, Habrovsk. Em conexão com o grande pânico do último artigo, apresento a segunda versão. Tudo é simples, sem ranho. O sistema de fidelidade é um grande buraco. Após algumas experiências, chegamos à conclusão de que um grande número de sites em que esse sistema é usado é completamente desprovido de lógica ao tentar usá-lo.


Obviamente, alguém conseguiu implementar pelo menos uma proteção simples, mas protetora, mas alguém imagina a Internet desta forma:



Em geral, muitos ataques de hackers ocorrem quase desta forma. É somente nos filmes que eles mostram vários dispositivos do futuro, cuja funcionalidade não faz sentido no presente.

Vamos ao que interessa. Por exemplo, vou usar alguns sistemas em que pode haver um karzh em massa.

Vamos começar com o OBI .

Eu direi imediatamente que para mim foi pouco estudado. Suas regras vagas sobre o uso de bônus me colocam em diferentes dúvidas. Em primeiro lugar, eles têm vários programas de bônus. Para um deles, você pode pagar apenas em três cidades da Rússia, para o outro - no total. Ao mesmo tempo, os bônus não se aplicam a todos, mas apenas até 50% do valor da mercadoria. Mas construir uma casa pela metade do preço já é bom.

Em geral, o OBI também possui um aplicativo no qual você pode fazer login no nosso cartão e pagar gerando um código de barras.

Vá para a página de registro com um leve toque de uma varinha mágica:


Chegamos ao formulário de registro que não é nosso cartão:


Bem, preencha. A propósito, aqui o sistema de cálculo de cartões é o mesmo que no "Crossroads". A fim de esclarecer - Algorithm Moon . Preenchi todos os dados, indiquei um número de cartão aleatório. No processo, peguei uma solicitação de registro através de um farejador.
Repetiu várias centenas de vezes em um ciclo. Não houve erros. O site tratou meus pedidos com bastante eficiência e retornou uma resposta em json:

"data":{"registration":null},"errors":[{"message":"\u041e\u0448\u0438\u0431\u043a\u0430 \u043f\u0440\u0438 \u0437\u0430\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0438 \u0444\u043e\u0440\u043c\u044b.","type":"validation","locations":{"path":"\/work\/obiclub.ru\/app\/GraphQL\/Mutation\/Frontend\/RegistrationMutation.php","line":109},"safe":true,"validation":{"cardnum":["\u041d\u0435\u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 \u043d\u043e\u043c\u0435\u0440 \u043a\u0430\u0440\u0442\u044b. \u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u0441\u0442\u044c \u0432\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445."]}}]}

Na variável cardnum estava o texto a seguir, traduzido do grego Unicode -

“Número do cartão errado. Verifique a correção dos dados inseridos »

É interessante que, para todos os meus pedidos de um IP, não houve bloqueio. Além disso, a sessão dura muito tempo. Eu verifiquei depois de um dia - a resposta foi. Poderia pelo menos redefinir os cookies, inserir o captcha e, em seguida, um sólido "facepalm". O software de escrita não é difícil, apenas cairá em
UK. RF Artigo 273 , e isso já é perigoso!

Bem, nós construímos uma casa. Devemos reabastecer nosso carro e andar pela cidade. Eu poderia dar um exemplo aqui com os postos de gasolina mais populares, mas em vista de algumas considerações, não farei isso. Todo mundo tem um sistema, mas a abordagem é diferente, então vou demonstrá-lo no posto de gasolina mais simples e pouco conhecido.

AZS-ETALON.RU . Atraiu minha atenção com o que está na minha cidade. O princípio de operação é semelhante - existe um cartão de fidelidade; existe um site onde registramos um cartão; Existe um aplicativo através de autorização no qual você pode pagar no checkout. Bem, geralmente é engraçado.

Vá para o formulário de registro do cartão - lk.azs-etalon.ru/registration.php


Preencha todos os dados, clique em "Hack" "Register". Nós obtemos a resposta

"Número do cartão inválido"

o que significa que inseriremos o próximo número na conta e assim por diante até encontrarmos combustível grátis para nosso amigo de quatro rodas.

- Automatizar?
Fácil.

Nós pegamos o pacote para registro. Temos o seguinte

HEADERS HTTP:


PÓS-DADOS:

Colocamos em uma forma conveniente, ajustamos em CURL, martelamos em um loop e colocamos em um fluxo. O site emitirá:

"RќµІµЂЅ‹ № ЅѕјµЂ є ° Ђ‚ ‹"

que traduziu do alemão CP1251 -

"Número do cartão inválido"

Definimos a condição para o aparecimento de outra resposta e encontramos "buzz" . O brutus mais simples está pronto.

Não há captcha, bloqueio de IP para um grande número de solicitações - não, nem existe uma verificação inicial para entrada de dados do cliente. Ah, tudo bem. E assim vai.

Vamos passar por mais uma fera. É muito maior que outros, mas ainda vulnerável.

Tape ... Just - TAPE

Acesse getetepes lk.lenta.com/authentication/login/activate-card:


Assumimos que este era um cartão não ativado anteriormente válido. Somos solicitados a inserir um número de telefone



Bem, digite seu celular e, em seguida, o restante dos dados, incluindo a senha. É tudo, estamos na conta pessoal.

Aqui, por assim dizer, tudo é semelhante aos sistemas anteriores. É importante capturar as solicitações necessárias e repita-as na sequência desejada.

Mas empiricamente, foi encontrada alguma vulnerabilidade ruim. Ao inserir o código de verificação errado - o que aconteceu? Nada, eles não nos deixaram entrar na LC. Isso é lógico, pessoal.


Mas experimentalmente, o seguinte foi verificado! Os pedidos de confirmação do código foram capturados, nos quais todos os parâmetros estavam claros:

{"Code": "12345667890", "card": "800011999193", "phone": "91234567789"}

Não vou mastigar como exploramos essa vulnerabilidade, mas vou lhe dizer brevemente. Com ele, você pode simplesmente omitir o código e sempre entraremos na conta do usuário sem confirmar o número. E isso significa que podemos indicar qualquer número!

( No momento, estou tentando entrar em contato com o suporte da TAPE )

Por que tudo isso? Vamos fazer um balanço.

Existem muitos serviços com um sistema de fidelidade. Você pode procurar infinitamente por eles e pontos "brutos". Se eu lhe disser, o que é possível pilotar um avião para esses pontos?

Aeroflot e S7 também têm um sistema de bônus. Os pontos são milhas. Podemos obtê-los de, por exemplo, parceiros. A Aeroflot, a propósito, tem cerca de 2 mil deles. Inclusive, quase todos os principais supermercados, incluindo o nosso infame X5 Retail Group. Você pode resgatar pontos por milhas diretamente no LC da mesma encruzilhada. Bem, e assim em quase todos os outros serviços. A propósito, esse fato de roubo de milhas por companhias aéreas foi registrado oficialmente. Caso de alto perfil, não sem sacrifício.

Como resultado, nem tudo é tão simples quanto parece. Há pessoas que vivem desses pontos. Bem, se essas bolas pertencem a você formalmente, alguém está sentado no seu pescoço. Os Kulkhackers podem comer, vestir, andar de carro, voar pelas cidades e muito mais gratuitamente.

PS: Obrigado pelo fato de que vários agentes de segurança do X5 entraram em contato comigo ao mesmo tempo. Houve mais discussões com alguém sobre “de quem são os pontos - clientes ou encruzilhadas” do que a questão da segurança do sistema. Mas acho que eles vão consertar tudo, já que todo o Conselho de Segurança já está ciente. Prontamente, bem. Eles devem prestar homenagem. O principal é melhorar.

Bem, aqui você tem uma pesquisa.