万事达卡系统存在严重缺陷,允许黑客通过无效付款手段欺骗商家支付成功
2017-09-08 13:21:52
据外媒报道,依靠万事达卡互联网网关服务( )处理在线支付的供应商,应在每次交易发货之前对每个交易进行双重检查,因为安全研究人员 yohanes nugroho 近期在 migs 协议中发现了一处明显漏洞,允许黑客通过无效付款手段欺骗支付系统并误导商家认为交易成功。
yohanes nugroho 认为安全系统的验证协议存在严重缺陷,而万事达卡(mastercard)似乎完全忽视了这一问题。yohanes nugroho 解释说:“这可以说是一个 migs 客户端错误,但是 mastercard 选择的哈希方法允许这样做。如果 mastercard 选择加密相关数据,这个问题是不可能发生的 ”。
根据 nugroho 的调查结果,狡猾的攻击者可以利用这个缺点,在第三方中间支付服务中注入无效值,以便绕过 mastercard 的系统,直接将请求转交给供应商。
正如 yohanes nugroho 观察到的那样,交易是否成功的数据不仅没有被 migs 服务器进行验证,而且甚至没有到达商家服务器端,这些请求仅在客户端进行检查。由于这些数据永远不会到达 mastercard 的服务器,所以仍然容易受到欺骗。这意味着,如果成功,黑客将能够通过无效付款交易作为绝对合法证明。虽然商家仍然需要确认交易,但大多数商家在批准请求之前很少检查其银行帐户,这正是为什么这个漏洞是如此令人担忧的原因。
稿源:,封面源自网络;【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信