- Dołączył
- 26 Maj 2015
- Posty
- 19243
- Reakcje/Polubienia
- 56076
Cały artykuł:Czy można w roku 2019 mieć na stronie dużego sklepu trywialny błąd umożliwiający pobieranie cudzych faktur i twierdzić, że stosowane zabezpieczenia nie odbiegają od standardów na innych stronach? Niestety można.
Na portalu Selgros24.pl URL do pobrania duplikatu faktury wyglądał tak:
xttxx://selgros24.pl/ViewCustomerOrderSaleDocument.html?orderId=XXXXXX
gdzie w miejscu XXXXXX znajdował się liczbowy identyfikator dokumentu. Domyślacie się już pewnie, co trzeba było zrobić, by pobrać cudzy dokument – tak, trzeba było zmienić liczbę na końcu URLa na dowolną inną. Liczby sięgały wartości powyżej 300 000 a dokumenty pochodziły co najmniej z 5 ostatnich lat. Dostępne w ten sposób dokumenty zawierały zarówno dane klientów (imię, nazwisko, nazwa firmy, NIP, adres) jak i listę wykonanych zakupów. Link działał dla każdego zalogowanego użytkownika sklepu, a aby się zalogować, wystarczyło po prostu założyć konto online.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!