來源:CNET Taiwan編輯部/Veronica Hsiao譯
日期:2011/04/13
來自印第安納大學及微軟的研究人員發現一種可以巧妙騙過線上結帳系統的手法,以獲得免費購物或折扣。
印第安納大學博士研究生Rui Wang發現,在付款代管業者Amazon Payments所提供的軟體開發套件中有安全漏洞存在。在接獲這些研究人員的通報後,Amazon已經修正此問題,同時也將在購物車應用程式以及在零售網站安裝時所發現的一些問題一併修正。
根據Rui Wang以及其他印地安納大學助教所共同撰寫的論文中指出,他們所測試的這個軟體中包括一種邏輯上的漏洞,一旦被破解就會導致零售商與CaaS(結帳即服務)間的不一致,進而讓有心人士可以操控系統,獲得免費的線上購物。
Rui Wang進一步說明,這個原理就像一個淘氣的小孩只能透過一通通的電話與爸媽個別進行溝通,為了達成目的,小孩可能分別與爸爸跟媽媽講了不同的故事,而最後終於獲得爸媽同意去做原本他不應該做的事情。
在這篇論文的例子中,存在於多方系統的漏洞可允許用戶在完成付款程序之後進行換貨、重覆使用先前的付款證明以獲得新的物品、獲得有效的付款證明以騙過網路商店、自己簽署付款證明或是當系統進行結帳時增加更多物品。
當然這些研究人員也實際展示他們的成果,比如說從線上商店獲得免費的血液酒精濃度測量器及雜誌,或是自行為DVD定價格,還有以低於實際定價的價格購買商品。
Amazon發言人並未對以上論文內容做出任何評論,但表示已根據Rui Wang論文中所提及的漏洞進行修正,並同時提供新的軟體開發工具給予這些研究人員看是否能發現其他問題。
沒有留言:
張貼留言