Рекомендуем почитать:
Xakep #287. Атаки на хардвер
- Содержание выпуска
- Подписка на «Хакер» -60%
Грядет сезон распродаж, близится Черная пятница, а согласно исследованиям, количество кибератак на онлайн-магазины удвоилось с 2016 года. Специалисты компании Check Point призвали пользователей быть очень внимательными во время новогоднего шопинга и в преддверии Черной Пятницы, а в качестве иллюстрации своих слов рассказали о баге, который недавно был обнаружен на Aliexpress.
Уязвимость на сайте Aliexpress была выявлена еще 9 октября 2017 года, и уже через два дня, 11 октября, проблему устранили. Баг позволял злоумышленникам присылать пользователям ссылки на страницы Aliexpress, содержащие вредоносный код Javascript. Когда жертва открывала такую ссылку, в ее браузере выполнялся вредоносный код, а защита Aliexpress от XSS-атак оказывалась бессильна из-за уязвимости open redirect на сайте.
ОГРАБИЛИ АЛИЭКСПРЕСС
Исследователи объясняют, что Aliexpress имеет множество поддоменов и сайтов, принадлежащих Alibaba Group. К примеру, специалисты обнаружили, что us.cobra.Aliexpress.com не совсем корректно работает с параметром cb. Манипуляции с данным параметром позволили исследователям добавиться выполнения произвольного JavaScript кода на поддомене Aliexpress.
Но отправка вредоносного пейлоада напрямую жертве не давала эффекта, так как Aliexpress имеет простую защиту от межсайтового скриптинга. Защита базируется на проверке referer header, и если referer не задан или задан некорректно, сервер не станет работать с таким запросом.
Эксперты объясняют, что referer – это HTTP header, который идентифицирует URL веб-страницы, с которой поступил запрос. В статье исследователи приводят простой пример: если зайти на blog.checkpoint.com, referer header не будет задан, так как эта страница была открыта в первый раз:
GET /2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/ HTTP/1.1Host: blog.checkpoint.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Но если перейти по ссылке на YouTube, браузер добавит referer header, который сообщит YouTube, что пользователь пришел с blog.checkpoint.com:
GET /UR_i5XSAKrg HTTP/1.1Host: youtu.beUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0Referer: https://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/
Чтобы обойти защиту Aliexpress, специалисты внимательно изучили, как выглядят ссылки на Aliexpress, которые работают как редирект на вторую ссылку на Aliexpress, которую можно подменить и осуществить внедрение вредоносного кода. Получилась ссылка следующего вида:
После этого осталось только пропустить полученную URL через любой сервис для создания коротких ссылок или «упаковать» в QR-код.
Переход по такой ссылке переадресует жертву на страницу логина Aliexpress, куда будет внедрен JavaScript отображающий фальшивый popup:
Подобное поведение не вызовет подозрения у пользователей. Дело в том, что сайт часто использует скидочные купоны для привлечения пользователей, и во время визита на Aliexpress нередко можно увидеть рекламу, которая предлагает посетителю ввести данные своей банковской карты, сделав работу с ресурсом более удобной, а также попутно выиграть купон на скидку.
Если атакующий найдет способ осуществить инъекцию кода, он сможет подорвать логику работы защитных механизмов и создать пейлоад, который может выглядеть следующим образом:
В теории такую атаку можно запустить через рассылку фишинговых писем. К примеру, пользователь получает письмо с предложением от Aliexpress, переходит по ссылке и видит поверх главной страницы всплывающий купон, запущенный на субдомене Aliexpress, куда ему предлагают ввести данные банковской карты, чтобы упростить процесс покупок. Но данные, введенные в эту форму, передаются прямиком хакерам, а не на официальный сайт ритейлера. Видеодемонстрацию атаки можно увидеть ниже.
Источник: xakep.ru
Баг/фича на Алиэкспресс
Вчера пытался весь день купить ноут HUAWEI, перепробовал всё, но ничего не вышло, зато обнаружил интересную вещь: когда я попытался использовать вместо промокода баллы, которые накопились на али (6079 всего), то они после безуспешной попытки оплаты преобразовались в купон Али на 6079 от 6079,01. Купон можно применить на любой товар хоть на 99,99% стоимости и активен был 24 часа. Если кто не понял, то у Али по правилам можно использовать баллы только на 50% стоимости товара, а тут можно хоть 99,99% в теории. Тут главное подобрать товар, который имеет +- адекватную цену без промокодов.
Скрин в качестве пруфа прилагаю.
Еще один пруф от пепперчанина в теме есть
Пример работы: ищете товар за 20 рублей, оплачиваете 50/50 деньгами/баллами, для оплаты используете карту с нулевым балансом. В теории 10 бонусов превращаются в купон 10 от 10.01. Если всё работает, то можно делать купон на бОльшую сумму.
Поделиться Поделиться в WhatsApp
Источник: www.pepper.ru
Поделиться интересной темой
Пробывал Опера Мини, совсем не идет , не грузится ваш сайт. Скорость ноль. Перехожу на стоковый браузер скорость появляется , но что бы загрузить сайт , написать сообщение уходит много времени. Нужную страницу форума открыть проблема. Жму на кнопку , не реагирует. Пока дойду до нужного места забываю, какой вопрос хотел задать ( ШУТКА ). Телефон самсунг андроид 2.3.6
Комментарий
Отправить сообщение Отмена
Magenta
- Влияние: 677
- Сообщений: 776
- С нами с 07.11.16
07-06-17, 09:13
В последнее время стали происходить баги с комментариями. Постишь коммент, он долго загружается, а потом вот такая картина При обновлении страницы комментария нет. Если добавить ещё один коммент, появится первый. Начинаешь удалять первый, исчезают оба. При этом все отображаются в «Последних дискуссиях», но ссылки битые.
Комментарий
Отправить сообщение Отмена
Комментарий 1
Super Moderator
idler-man прокомментировал(-а)
07-06-17, 09:22
Редактировать комментарий
Magenta, на днях будет обновление, глюки должны уйти.
А новые, как водится, добавиться ).
Magenta
- Влияние: 677
- Сообщений: 776
- С нами с 07.11.16
31-08-17, 22:32
Вопрос к администрации форума. Время Aliexpress на главной показывает с учётом местоположения юзера? Должна быть разница в 11 часов. Мне показывает разницу в 10 часов, т.е. на час вперёд.
Комментарий
Отправить сообщение Отмена
Shifu
Super Moderator
- Влияние: 736
- Сообщений: 5293
- С нами с 16.12.13
01-09-17, 11:29
Вопрос к администрации форума. Время Aliexpress на главной показывает с учётом местоположения юзера? Должна быть разница в 11 часов. Мне показывает разницу в 10 часов, т.е. на час вперёд.
Если речь относительно дефолт-сити то разница с Алиэкспресс зимой 11 часов, а летом — 10.
Вообще, часы привязаны к настройкам времени на устройстве. К примеру, если я из Брянска (GMT+3) перемещусь в Ижевск (GMT+4), то нужно в устройстве поменять часовой пояс. Если же часовой пояс я оставлю прежний, а просто добавлю к времени 1 час, то часы на сайте будут показывать мне неправильное время.
Маг. Столовращатель. Гадаю на рунах и картах таро. Предсказываю будущее.
Вопросом «чем закончится спор на Aliexpress?» прошу не беспокоить.
Комментарий
Отправить сообщение Отмена
комментариев: 3
Magenta прокомментировал(-а)
01-09-17, 19:13
Редактировать комментарий
Так на месте я. У меня сейчас 19:08, на Али значит -11 часов будет 08:10, а на форуме 09:10. Причем время в Китае показывает верно.
В профиле мой часовой пояс стоит. коррекция DST по умолчанию — отключена.
Короче, я из-за неправильного времени на форуме пропустила раздачу купонов(((
Последний раз редактировалось Magenta; 01-09-17, 19:56 .
Super Moderator
Shifu прокомментировал(-а)
02-09-17, 11:34
Редактировать комментарий
Magenta, на Алиэкспресс время калифорнийское. Существует переход на летнее/зимнее время. Сейчас там минус 10 относительно Москвы, зимой будет минус 11. Я в свое время много усилий приложил, чтобы это выяснить. Вычитал это у какого-то нашего соотечественника-исследователя, потому что Али никто (в смысле техподдержка) ничего толком не знает. Это было года 3 назад.
С тех пор наши часы каждую весну и осень переводятся вручную. Накладки были, забывали вовремя переводить, но сейчас часы идут верно, и теория с калифорнийским временем полностью подтверждается.
Что касается пропущенной вами раздачи купонов, то подоплека мне неизвестна, но если раздачу инициировал Молл, то они в этом вопросе плавают. В прошлом году даже акцию 11.11 анонсировали в 10:00 по МСК, а была она в 11:00, потому что как раз перед акцией, кажется, 6-го числа, на сайте Али произошел переход на зимнее время. Так что они могли не вовремя запустить раздачу.
Magenta прокомментировал(-а)
02-09-17, 18:38
Редактировать комментарий
Нет, это была игра Поймай купон, она проводилась 5 дней 4 раза в день точно по расписанию, вот ссыль на график. Эту ссылку с графиком я нашла после того как пропустила раунд, потому что в приложениии дата следующего раунда указывалась в PST, и я не заморачиваясь сверила его с временем на форуме, выходило в 21:30 по мск, а из-за того что на форуме разница в 10 часов, а не 11 как на самом деле, раунд был пропущен. Начала искать расписание, нашла, там в 20:30 по мск (разница 11 часов).
На Alimonitor кстати точно показывает. Здесь сейчас 08:35, там 07:35, как и в PST.
Вот сейчас разница со временем на Aliexpress 11 часов, а не 10, как на форуме.
Да, и в PST, по которому живет Али нет перехода на летнее время.
Источник: buyerinfo.ru