Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19243
Reakcje/Polubienia
56076
Czy można w roku 2019 mieć na stronie dużego sklepu trywialny błąd umożliwiający pobieranie cudzych faktur i twierdzić, że stosowane zabezpieczenia nie odbiegają od standardów na innych stronach? Niestety można.

Na portalu Selgros24.pl URL do pobrania duplikatu faktury wyglądał tak:

xttxx://selgros24.pl/ViewCustomerOrderSaleDocument.html?orderId=XXXXXX

gdzie w miejscu XXXXXX znajdował się liczbowy identyfikator dokumentu. Domyślacie się już pewnie, co trzeba było zrobić, by pobrać cudzy dokument – tak, trzeba było zmienić liczbę na końcu URLa na dowolną inną. Liczby sięgały wartości powyżej 300 000 a dokumenty pochodziły co najmniej z 5 ostatnich lat. Dostępne w ten sposób dokumenty zawierały zarówno dane klientów (imię, nazwisko, nazwa firmy, NIP, adres) jak i listę wykonanych zakupów. Link działał dla każdego zalogowanego użytkownika sklepu, a aby się zalogować, wystarczyło po prostu założyć konto online.
Cały artykuł:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry