PayU má problém, za stejnou cenu nakoupíte 10× víc zboží [aktualizováno]

PayU je platební systém, který do jisté míry konkuruje globálnímu PayPalu a umožňuje platby pomocí kreditních karet i rychlých převodů jednotlivých bank. Paul Tomkiel se nyní na svém webu rozepsal o postupu, který umožní zákazníkovi zfalšovat počet nakupovaných předmětů. Problém se přitom může týkat i českých obchodníků, kteří služby PayU využívají.

payu_payment_process_hacked_quantity1.png
Hash je korektní, vše se zdá být v pořádku. Jenže není, objednali jsme si 19 knih za 8,50 (celkem tedy 161,50) místo jedné za 98,50 (zdroj: codel10n.com)

Chyba v zabezpečení spočívá v jednoduché změně odesílaného formuláře, z něhož je poté společně s privátním klíčem generován kontrolní součet pro ověření odeslaných údajů. Nejlépe to bude vidět na následujícím příkladu autora, který objednal jeden kus svojí knihy týkající se lokalizace webů (Best Localization Tips from CodeL10n hardbook). Z formuláře na webu jsou odeslány všechny potřebné údaje a následně spojeny do jednoho textového řetězce. Ten může v tomto případě vypadat takto: PLN127.0.0.1CodeL10n PayU hack145227Best Localization Tips from CodeL10n hardbook198509850.

Zleva obsahuje údaje o měně, IP adresu zákazníka, popis, identifikátor objednávky a především počet objednaného zboží (1) a cenu (98,50). To je tučně zvýrazněná část. Poslední čtyřčíslí je potom celkový součet. K tomuto řetězci se připojí privátní klíč a vygeneruje se kontrolní součet, třeba pomocí MD5. Pokud by se někdo pokusil změnit kterýkoliv údaj ve formuláři, výsledný hash by neseděl a platba by nemohla projít.

V případě PayU však existuje cesta umožňující změnit parametry objednávky a dostat stejný kontrolní součet. Stačí prostá změna atributů odeslaného formuláře, v nichž místo 1 knihy za 98,50 objednáme 19 knih za 8,50. Řetězec použitý pro vygenerování hashe zůstane stejný a objednávka bude validní. PayU totiž nijak neověřuje, zda se součet shoduje s násobkem počtu kusů a cenou za jediný kus.

Paul Tomkiel obdržel v průběhu prosince potvrzení z PayU, že bude problém promptně vyřešen. Proto jsme požádali české zastoupení o vyjádření, zda k opravě chyby již došlo.

Aktualizace: Podle zprávy autora nebyla chyba stále odstraněna. Že je zneužití i nadále možné si můžete vyzkoušet na testovacím formuláři.

Článek patří do rubrik: Bezpečnost, MD5

31 komentářů

Diskuze

  • Pepa Berger , 8. 1. 2016 1:29:21
    Zvyseni poctu ks si asi malo kdo vsimne a tezko se to uhada. Mnohem...
  • Martin Suchan , 7. 1. 2016 9:34:08
    Ten clovek, ktery navrhnul generovani hashe transakce pomoci spojeni...
  • Pavel Černík , 6. 1. 2016 17:54:06
    zasadni chyba v myslenkovem postupu hackera - payU neni prodejce ale pouze...

Určitě si přečtěte


Nová čísla Gartneru: Už si to konečně přiznejte. Telefony s Windows jsou mrtvé

Nová čísla Gartneru: Už si to konečně přiznejte. Telefony s Windows jsou mrtvé

** Microsoft se roky snažil prosadil Windows na telefonech ** Nepomohla mu ale ani Nokia ** Gartner nyní potvrzuje nekončící propad prodejů

21.  8.  2016 | Jakub Čížek | 278

Jak internet a chytrý telefon mění lidskou paměť a další části našeho mozku

Jak internet a chytrý telefon mění lidskou paměť a další části našeho mozku

** Máte stále horší paměť? Může za to chytrý telefon a internet ** Důvodem je snaha mozku ušetřit vlastní výkon ** Odkládání na „externí zařízení“ má pozitivní, ale i negativní důsledky

20.  8.  2016 | Karel Javůrek | 30

Naháči a prdeláči: Češi vystavují na Rajčeti hambaté fotky, aniž by si uvědomili důsledky

Naháči a prdeláči: Češi vystavují na Rajčeti hambaté fotky, aniž by si uvědomili důsledky

** České webové úložiště fotografií obsahuje nemalé množství fotografií nahých dětí ** Nahrávají je tam sami rodiče, neuvědomují si přitom, že tím poskytují atraktivní materiál pedofilům ** Google, Microsoft či Facebook by za sdílení takových fotografií okamžitě automaticky zablokoval účet

16.  8.  2016 | Jakub Čížek | 71

Porno Insider: Jak lze udělat úspěšný internetový startup v erotickém byznysu, a to hned dvakrát za sebou

Porno Insider: Jak lze udělat úspěšný internetový startup v erotickém byznysu, a to hned dvakrát za sebou

** Ve své době byl YouPorn světově největší web s erotickým obsahem ** Zakladatel YouPorn byl v měřítku běžných internetových startupů velmi úspěšný ** Úspěch navíc zopakoval a svou druhou společnost, založenou v Praze, prodal stejnému kupci

17.  8.  2016 | Jan Dudek | 18

Nová úprava Li-Ion akumulátorů jim zdvojnásobí kapacitu, na trhu již letos

Nová úprava Li-Ion akumulátorů jim zdvojnásobí kapacitu, na trhu již letos

** Z mnoha nenaplněných futuristických vizí o lepších bateriích tato vypadá opravdu nadějně ** Neslibuje zázrak, ale nemalý pokrok na základě současných technologií ** Při stejném objemu získá baterie dvojnásobnou kapacitu, výroba může přitom probíhat na stávajících linkách

19.  8.  2016 | Tomáš Holčík | 48

Nečekaný výsledek: jak dopadne integrovaná grafika na procesoru proti samostatné grafické kartě?

Nečekaný výsledek: jak dopadne integrovaná grafika na procesoru proti samostatné grafické kartě?

** Nvidia Geforce 940M proti Intel Iris Graphics ** Dedikovaná grafika neznamená automaticky vyšší výkon

18.  8.  2016 | Tomáš Holčík | 59


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.