באג אבטחה קריטי שמצאתי באתר, דווח ותוקן.

באג אבטחה קריטי שמצאתי באתר, דווח ותוקן.

צהריים טובים,
היום החלטתי לכתוב לכם, על באג שמצאתי באתר muclassic.co.il.
בשביל שמתחילים יוכלו לקרוא את הפוסט, אסביר כרגע על מספר מושגים הכרחיים.
פרוטוקול HTTP –  הוא פרוטוקול תקשורת שנועד להעברת דפי HTML ואובייקטים שהם מכילים (כמו תמונות, קובצי קול, סרטוני פלאש וכו') ברשת האינטרנט וברשתות אינטראנט.
בקשות GET – אלו בקשות שמושכות אובייקטים שונים מהשרת.
בקשות POST – שלח אל השרת, למשל שאתם מעלים תמונה. התמונה נשלחת אל השרת ומעולה לאחר מכן.
היא גם משומשת בשביל לשלוח טפסי נתונים לשרת, למשל כניסה לאתר. המשתמש שולח לשרת קובץ נתונים שמכיל שם, וסיסמא ומאמת את השם והסיסמא.
נחזור לבאג.
יצרתי משתמש באתר, וניגשתי לדף תרומה.
בדף אפשר לתרום למשחק כסף, וכך לקבל מטבעות בשביל המשחק.
היו שתי אפשריות לתשלום. האחת הייתה דרך תשלום טלפוני, והשניה דרך תשלום בpaypal.

לחצתי על האפשרות הראשונה, תרומה על סך 10 שקלים.
הבקשה עברה כבקשת POST.

מכיוון, שאני שולט על הנתונים שעוברים לשרת בבקשת POST.
אני יכול לכאורה לשנות את השדה item_price שכרגע שווה ל10 ש"ח.
שיניתי את השדה לשקל אחד.
והועברתי לדף של תשלום טלפוני.
העסקה כרגע כתובה על סך שקל.
מקווה שנהנתם!

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *