image

Gratis winkelen door lek in webshopsoftware

dinsdag 18 september 2012, 16:11 door Redactie, 5 reacties

Er zit een beveiligingslek in osCommerce, de populaire open source webwinkelsoftware, waardoor kwaadwillenden zonder te betalen producten kunnen bestellen. De kwetsbaarheid bevindt zich in osCommerce Online Merchant v2.3.1 in combinatie met de PayPal betaalmodule 1.0, hoewel andere versies mogelijk ook kwetsbaar zijn. De parameter voor het PayPal e-mailadres van de webshop wordt gecontroleerd aan de kant van de koper en wordt niet geverifieerd door de server.

Controle
Hierdoor kan een aanvaller het PayPal e-mailadres wijzigen in een eigen adres en zo goederen op de website bestellen waarbij hij vervolgens zichzelf via PayPal betaalt in plaats van de webshop. Alleen door handmatige controle van bestellingen die via PayPal zijn gedaan zou de fraude zijn te detecteren, aldus het Amerikaanse Computer Emergency Readiness Team (US-CERT).

De ontwikkelaars zouden al op 18 juli door Giancarlo Pellegrino van SAP Research over het lek zijn ingelicht. Het probleem is inmiddels in osCommerce Online Merchant v2.3.4 en v1.1 van de betaalmodule verholpen, maar deze versies zijn nog niet te downloaden.

Reacties (5)
18-09-2012, 16:45 door BaseMent
Het blijft diefstal. Maar deze is wel leuk. Je betaalt wel, maar niet aan degene die het product levert. Een soort van tussenpersoon dus. Zou je dan ook tegen de webshop beheerder kunnen zeggen dat de tussenpersoon met de betaling aan de haal is gegaan (die je dan dus wel zelf bent)?
18-09-2012, 23:36 door Anoniem
Helaas. Even wachten op een update. Jammer dat ze nog niets vrijgegeven hebben zodat we het ook niet zelf kunnen oplossen.
19-09-2012, 08:25 door alexNL
Feitelijk is je bestelling een overeenkomst tussen jou en de webshop, waarbij jij betaalt aan de webshop en zij de goederen leveren na betaling. Als je het geld vervolgens moedwillig niet (of aan iemand anders) de betaling doet is de webshop niet verplicht jou te leveren.

Het is wachten op malware dat volautomatisch het paypal adres wijzigt (bv met dat o zo veilige java) waardoor je zelf ook geen idee hebt dat je niet aan de webshop hebt betaald :-s
19-09-2012, 16:50 door Anoniem
Door alex.nl: Feitelijk is je bestelling een overeenkomst tussen jou en de webshop, waarbij jij betaalt aan de webshop en zij de goederen leveren na betaling. Als je het geld vervolgens moedwillig niet (of aan iemand anders) de betaling doet is de webshop niet verplicht jou te leveren.

Het is wachten op malware dat volautomatisch het paypal adres wijzigt (bv met dat o zo veilige java) waardoor je zelf ook geen idee hebt dat je niet aan de webshop hebt betaald :-s

Scherp gezien van jou! Soms verbaas ik me over de lekken die gevonden worden, hoe kan zo een grove fout nou over het hoofd gezien worden..
31-10-2012, 10:53 door Anoniem
En nog steeds geen update te bekennen, zowel op GitHub als op hun website;
https://github.com/osCommerce/oscommerce2
http://www.oscommerce.com/solutions/oscommerce#content
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.