Added by on 2013-08-19

Вывод средств из visa qiwi wallet имея только cookies пользователя

Безопасность — наиболее значимая вещь. Тем более, безопасность в сети. Тем более, для платёжного сервиса, где люди имеют свойство хранить собственные денежные средства.

Думаю, со мной никто не поспорит, в случае если я выдвину тезис о том, что одна из наибольших платёжных совокупностей, компания с многомиллиардным оборотом, не должна разрешать себе огрехи в безопасности пользовательских кошельков.

Ниже — легко описание того, как я, владея далеко не самыми глубокими знаниями в информационной безопасности, смог вывести неограниченное количество средств из третьего кошелька, владея только «кукой» JSESSIONID пользователя.

Ход 1: получение cookies третьего пользователя.

Без оглядки на то, что главный сайт платёжной совокупности — w.qiwi.com — применяет https-шифрование, cookies всё равняется сохраняются в браузере в незашифрованном виде. Потому, что интересующие нас куки JSESSIONID сохраняются только до конца сессии, принципиально важно только вытащить их с компьютера жертвы в необходимый момент.

Думаю, останавливаться на том, как это сделать, смысла нет. Имеется множество способов получения «печенек» от пользователя. Для эксперта, при должном жажде, это выполнимая задача.

Помимо этого, на ветхом сайте QIWI-кошелька, — w.qiwi.ru. в отличие от новой версии, — w.qiwi.com — употреблялся атрибут «autocomplete=«off»», что запрещает запоминание пароля браузером. К слову, вытащить пароли из Firefox неопытного юзера (по-умолчанию Firefox никак их не шифрует), к примеру, при наличии бэкдора, неприятностей кроме этого не составит. (Но, как и фактически из любого другого браузера.)

Ход 2: подмен cookies и первичная аутентификация

Тут всё легко как два раза два. Уж не знаю из-за чего, но cookie JSESSIONID не привязана кроме того к IP пользователя. Помимо этого, при двух параллельных авторизаций с различных IP под одной «кукой» сайт никак не «сигналит» о вероятном взломе пользователю, а ведь необходимо.

Заходим на w.qiwi.com и подменяем присвоенную JSESSIONID на подобную третьего пользователя. В Firefox и Opera это делается за 20 секунд стандартными средствами браузера, для Chrome имеется простое расширение, как я осознаю.

Всё, мы авторизовались от имени «жертвы».

К слову, фальшивая сессия, в случае если мы успели пройти под ней аутентификацию, не погибнет кроме того при логаута подлинного юзера, в случае если мы будем сохранять её «живой» путём периодических рефрешей.

Ход 3: проведение платежа без SMS-подтверждения

Двухфакторная аутентификация — ответственная вещь, которая разрешает обезопасить пользователя значительно лучше, чем несложная связка логин-пароль. В случае если похитить аутентификационные эти достаточно легко, то SIM-карта, казалось бы, спасёт обладателя в 99% случаев.

Метод двухфакторной аутентификации использовался в QIWI-кошельке (тот самый w.qiwi.ru. и, к слову, в том месте он был реализован лучше), сейчас используется и в Visa QIWI Wallet. Но в последнем подтверждение платежа по SMS несложно «обойти».

Для этого, во-первых, создаём шаблон нужного платежа. Это возможно несложный перевод на другой кошелёк, оплата на кошелёк WebMoney, и т.д. и т.п. За

пример заберём несложной платёж на другой Visa QIWI кошелёк.

После этого из этого избранного платежа нам только необходимо сделать запланированный. И, как это ни необычно, совокупность даст нам это сделать без SMS-подтверждения. Для этого в перечне избранных платежей нажимаем «Редактировать» внизу, жмём на необходимый нам платёж и заполняем форму «Запланировать платеж?», ставим галочку наоборот пункта «Платить машинально».

После этого сохраняем платёж и просто ждём указанного нами же времени, в то время, когда мы возьмём перевод.

Платежи смогут задерживаться на минуту-вторую, но с успехом проходят без ведома пользователя. Правильнее пользователь заметит, конечно же, пропажу средств, но уже в отчётах постфактум. (Мне на android-приложение сразу же пришло уведомение о том, что платёж совершён, но уже, разумеется, поздно.)

Имеется ещё, само собой разумеется, вариант, что третий пользователь за эти несколько мин., пока вы проводите манипуляции с избранными платежами, увидит всё это и что-то успеет предпринять, но это маловероятно.

Деньги ушли —

А вот они же пришли —

Вот, фактически, и целый процесс. Практически за несколько мин., имея на руках свежие cookies пользователя (или связку логин-пароль), путём несложных мероприятий мы можем опустошить кошелёк пользователя.

Послесловие. По окончании написания данного топика, перед его отправкой, проделал такую же операцию на 1 рубль со собственного кошелька на несуществующий. Отыскал какой-то телефон главного офиса Visa QIWI (8 (800) 200-00-59), позвонил.

Дождался ответа оператора. Тот заявил, что необходимо звонить 8-800-555-74-94 по вопросам QIWI-кошелька.

Позвонил в том направлении. Заявил, что платежа данного не совершал, по SMS, конечно, ничего не подтверждал. Женщина на том финише начала мне с уверенностью растолковывать, что этот платёж прошёл без SMS-подтверждения потому, что… в этот самый момент сообщение почему-то прервалась.

Перезваниваю ещё раз. Второй оператор. Растолковал обстановку.

Сообщили писать на fm@qiwi.ru в работу безопасности. Ничего по телефону они не растолковывают. Ответ до двух дней.

Письмо написал, расписал всё то же, что и в посте. Прошло двое дней. Ответа не последовало.

И ещё один момент. В топике я писал, что на ветхом QIWI-кошельке (w.qiwi.ru ) неприятность безопасности была решена лучше. Так вот в том месте, в случае если необходимо создать запланированный платёж, его необходимо хотя бы один раз подтвердить по SMS. И без того и должно быть, это верно.

Но на новой версии, которая уже не просто QIWI, а Visa QIWI — этот момент потеряли.

Ответственное примечание. Эта статья написана не в деструктивных целях, а чтобы обратить внимание большой компании на небольшие, но серьёзные недочёты в их продукте. (Работе помощи, как по всей видимости, не до этого.) Надеюсь, представители QIWI отреагируют и скоро залатают уязвимость, и попытаются продумывать все вероятные сценарии поведения пользователя, чтобы избежать негативных возможностей социальной инженерии в будущем.

Источник: savepearlharbor.com

Платите за что хотите с Visa QIWI Wallet

Увлекательные записи:

Подборка статей, которая Вас должна заинтересовать:

  • Схема вывода средств с qiwi без смс.

    Схема вывода средств с Qiwi без SMS. Схема вывода средств с Qiwi без SMS. Приветствую. Реализую схему вывода денег с киви в обход SMS. Схема рабочая…

  • Депозиты с помощью qiwi visa virtual

    Что представляет собой QIWI VISA Virtual? QIWI VISA Virtual – это онлайн-работа, которая дает Вам возможность взять предоплаченную виртуальную карту…

  • «Qiwi» вывод средств

    «QIWI» кошелек – это популярный платежный сервис в бывших советских республиках и в Российской Федерации в частности, что был образован в недалеком 2007…

  • Visa qiwi wallet или платежная система qiwi кошелек

    В данной статье глубокоуважаемые читатели блога lessons-joomla.ru поболтаем о Visa QIWI Wallet либо платежная совокупность QIWI кошелек. Обязан заявить,…

  • Как снять деньги с qiwi visa virtual

    Как пополнить и вывести деньги с QIWI Кошелька? 08 февраля 2013 Поболтаем о методах вывода и ввода денег из Visa QIWI Wallet. При вводе через платежный…

  • Пополнение личного счета через visa qiwi wallet

    Для оплаты через Visa QIWI Wallet: Выберите в качестве метода оплаты «Visa QIWI Wallet ». Потом укажите номер собственного сотового телефона и сумму, на…

Comments are closed.