Verified by Visa и SSL — не панацея / Информационная безопасность / Хабрахабр

Verified by Visa и SSL — не панацея

Две недели был на море, только сегодня под вечер вернулся домой (вымотанный длительным перелетом). Звонит знакомый и просит срочно отправить ему документы по почте. Интернет не оплачен, до ближайшего терминала QIWI идти минут 15. Вспоминаю, что провайдер недавно предоставил возможность вносить платежи с помощью банковских карт. Захожу в личный кабинет на сайте провайдера, перехожу по нужной ссылке, радуюсь, что доступ к странице открыт, несмотря на отсутствие интернета.

Обращаю внимание на знакомое имя банка, на https в строке адреса, на логотип «Verified by Visa» (да, это всего лишь название дополнительной меры безопасности, но все-таки «проверено Визой»). Можно ли доверить этому сайту номер карты и CVV2? Похоже, что да.

Заполняю все поля формы, жму «оплатить»… вижу белую страницу со строкой текста.

Could not insert: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ya Ivanov', '', '0', '','127.0.0.1', 'https://web3ds.bank-name.ru:3443/cgi-bi' at line 1

Замечательно. О чем думал сотрудник банка, оформляющий мне карту, когда вбивал ненужный апостроф в поле «Card Holder's Name». И о чем думал программист, подставляющий в SQL-запрос данные, переданные пользователем, без экранирования (похоже, что не о SQL-инъекциях).

Я вспомнил о комиксе xkcd, закрыл страницу, оделся, вышел на улицу и пошагал до ближайшего терминала QIWI.

P. S. Никогда не просите своих пользователей вводить что-то «без пробелов». Проще разработчику один раз написать регулярное выражение для обработки входных данных, чем каждому пользователю читать и осмысливать подписи под полями.

sql-инъекция

+79

9 сентября 2010, 21:29

Hint

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (97)

newkos 9 сентября 2010, 21:35 #

Сотрудник банка мог и не знать что апостроф нельзя вписывать, это програмер должен был проверять ещё на этапе внесения, а потом на этапе проверки карты

Hint 9 сентября 2010, 21:37 # ↑

Это был сарказм :)

easyman 10 сентября 2010, 04:33 # ↑

да там много чего…
habrahabr.ru/sandbox/18209/

Arepo 9 сентября 2010, 21:52 #

Хороший надёжный банк, нечего сказать…

PS: а что это вы лого замазали, а ссылка в ошибке оригинальная осталась ;)

Hint 9 сентября 2010, 21:58 # ↑

Спасибо, не заметил. Уже заменил.

xn__p2a 9 сентября 2010, 23:17 # ↑

Ну лого-то частично скрыто и осталось вполне узнаваемым. По-моему, так было задумано.

stas_agarkov 10 сентября 2010, 21:51 # ↑

дайте пожалуйста ссылку на каталог логотипов банков: хочу узнать что это за банк

MainNika 11 сентября 2010, 00:41 # ↑

stas_agarkov 11 сентября 2010, 00:48 # ↑

спасибо, никогда о нем не слышал в нашей «деревне»

romy4 11 сентября 2010, 16:44 # ↑

в знак «глугой водитель» вписаны какие-то враждебные МБ

+14

LMaster 9 сентября 2010, 21:56 #

Осталось дождаться сообщения типа:

Если вы увидите ошибку, начинающуюся на «You have an error in your SQL syntax...», пожалуйста, вернитесь на шаг назад и удалите кавычки из полей ввода.

под картинкой «Verified by Visa».

SeLarin 9 сентября 2010, 22:10 # ↑

А какой смысл что-то удалять кавычки, если после этого карта не пройдет верификацию? Не просто же так просят имя указывать. :)

outcoldman 9 сентября 2010, 22:25 # ↑

предыдущий автор был не прав, нужно сообщение: замените апостров на двойной! и не пробуйте использовать никаких sql инъекций.

inTagger 9 сентября 2010, 23:07 # ↑

У меня две карты, на одной написано имя ALEXANDER, на другой ALEXANDR (не трудно догадаться, какая из них делалась в России), так вот, я забыл, что на одной карте имя написано без буквы E, и написал с буквой E — прокатило.

petrovi4 10 сентября 2010, 00:40 # ↑

По секрету: процессингу вообще плевать на это поле. Можете туда что угодно вписывать. Иногда это поле учитывают в антифродовых механизмах, и то, с небольшим весом. Видел транзакции, где по карте шёл фрод от кардхолдера с именами «а вот.уй вам», «как я вас поимел» и так далее в том же духе!

sach 10 сентября 2010, 05:03 # ↑

Обычно лениво кодить с авторизацией по биллинг адресу, телефону, кард холдеру и cvc. Это да :)

namezys 10 сентября 2010, 09:11 # ↑

Плевать при блокировке средств. А вот при списании банк сам может проверить

MaximKat 10 сентября 2010, 01:36 # ↑

Имя, как правило, при верификации не учитывается.

Romeo_spb 10 сентября 2010, 11:19 # ↑

большей части банков наплевать на содержимое поля CardHolder Name

–2

Masterkey 9 сентября 2010, 22:02 #

хм, помоему поле с которым возникли проблемы несущественно. часто его просят просто для галочки, чтоб было.

про всякие «верифаед бай..», не будьте таким наивным — виза ни сном ни духом про этот сервис/страницу не знает, просто скапали гдето картинку вставили себе и вуаля.

ЗЫ мне тут расказывали мои братья по прогцеху. вобщем работали они раньше в альфабанке, и был с ними товарищ, так вот этот товарищ, пока в тз небыло четкой формулировке, что и как должно работать, просто хардкодил те функции. а так как он все задачи сдавал вовремя, то и претензий к нему небыло, ну и не рефакторил его код пока никто, а потом он получил повышение и сам должен был рефакторить…
вобщем после этой вакханалии много было мата сказано…

ZyL 9 сентября 2010, 22:19 # ↑

Вообще-то у всех кредитных карт существуют договора и правила по поводу «вставить картинку» и тем более по поводу хранения данных. Например, CVC код хранить в базе нельзя. За нарушения они штрафуют и могут отказать в сервисе вообще. Нам специальные курсы устраивали в свое время (в штатах было), правда, давно это было.

main 9 сентября 2010, 22:29 # ↑

Да да, такого рода организации должны соблюдать PCI DSS

eventviewer 9 сентября 2010, 23:27 # ↑

По секрету, в pci dss возможно не полное соответствие стандарту, а частичное. Получить замечания и action plan, типа работаем над устранением. Однако с сентября 2010 года Visa требует полное соответствие, иначе будут штрафы. Но мне почему-то кажется что банкам проще будет их платить, поскольку полное соответствие ofi dss дорого и не так просто. В случае полного соответствия такого рода ошибок не должно быть.

MainNika 9 сентября 2010, 22:10 #

И это безопасность банка? Шокирован такой безопасностью.

scarab 10 сентября 2010, 00:50 # ↑

В банках работают такие же люди, как везде.

ApeCoder 10 сентября 2010, 10:01 # ↑

там должны быть другие процессы

scarab 10 сентября 2010, 10:32 # ↑

Если там такие же люди, откуда возьмутся другие процессы?..

Ну да, кое-что навязывается извне — СТО БР ИББС, PCI DSS и прочее. Но глобально это ничего не меняет.

qmax 9 сентября 2010, 22:22 #

неповезло вам с этой картой :)
а это единственный случай таких косяков?

qmax 9 сентября 2010, 22:23 #

я бы комикс в КДПВ поставил :)

bliznezz 10 сентября 2010, 12:27 # ↑

Oh yes, Little Bobby Tables. We call him.

Powerhead 9 сентября 2010, 22:23 #

А какие данные они сохраняют, в БД, интересно? У вас теперь доступ есть, посмотреть можно )

Romeo_spb 10 сентября 2010, 11:53 # ↑

никакие номера карт и cvc коды не сохраняются =)

mihmig 9 сентября 2010, 22:23 #

— Здравствуйте! Разрешите предложить Вам наш новый «карточный продукт»… блаблабла… бонусные баллы… блаблабла… скидки… блаблабла… крупнейшие отели… блаблабла… только вот на сайтах надо будет вводить без пробелов и апострофов…
— До свидания!

ice9 10 сентября 2010, 01:56 # ↑

Или так:
— До свидания! Кстати, я не представился. Д'Артаньян!

–3

Pono 9 сентября 2010, 22:26 #

Если уж замазываете логотип, то замазывайте до конца, — банк определяется с первого взгляда на незакрашенный кусок.

0lympian 10 сентября 2010, 00:52 # ↑

Я думаю что в этом и был смысл неполного закрашивания ;)

SilentImp 9 сентября 2010, 22:28 #

Против глупости боги бороться бессильны.

nllm 9 сентября 2010, 22:35 #

Оффтоп
У Utel (УралСвязьИнформ) тоже есть возможность вносить платежи с помощью банковских карты. Но, зайдя в кабинет на сайте провайдера, указав сумму платежа, открывается страница процессинга. Если интернет не оплачен, то все. Платеж не совершить. Вот такая мелкая пакость (возможно уже устранили)

HeadFore 10 сентября 2010, 00:30 # ↑

Да и у Билайна какая же штука.

WGH 10 сентября 2010, 01:08 # ↑

У билайна (по крайней мере, корбины) можно воспользоваться гостевым доступом, и тогда сервер посредника по оплате будет доступен.

HeadFore 10 сентября 2010, 01:12 # ↑

Не нашёл что-то как по проводу получить гостевой доступ, но если надо менять логин/пароль — тоже не вариант, у меня прописано всё в роутере, лень менять. Пользуюсь клиентом альфа банка через edge/gprs, если забываю в срок.

WGH 10 сентября 2010, 20:36 # ↑

Да, менять придётся. corbina corbina.

ProstoTyoma 10 сентября 2010, 00:45 # ↑

У скайлинка похоже: доступ к процессингу с нулевым балансом есть, но по MasterCard SecureCode на сайт банка не пускает. Поддержка после месяца раздумий ответила что-то вроде «используйте карту без SecureCode».

–4

core 9 сентября 2010, 22:45 #

Скорее всего эту ошибку выдает сайт мерчанта а не сайт банка. Кроме того мерчантам запрещено сохранять информацию такую как номер карты и другие ее реквизиты (исключение составляет четыре последние цифры номера карты). Так что даже если эти данные будут украдены — пользы от этого никакой.

CuamckuyKot 9 сентября 2010, 23:03 #

Автор, надеюсь, это не ваш CVC2 засвечен в топике :-)

Kwull 9 сентября 2010, 23:16 # ↑

легко проверить :)

vk2 10 сентября 2010, 05:27 # ↑

проверьте для начала номер :-)

хоть в каком-то смысле программистское развлечение

Pas 9 сентября 2010, 23:11 #

Интересно, как у вашего провайдера будет осуществляться оплата заблокированного интернета при условии поддержки картой VbV? При заблокированном аккаунте можно выпустить клиента в собственную сеть (личный кабинет), в подсеть банка-эквайера (платежный шлюз). Но если карта поддерживает VbV или MC SC, то процессинг переадресует держателя карты на специальную страницу на сайте банка-эмитента карты, а туда провайдер неблокируемого доступа может и не предоставить… Не включать же в список сайты всех банков?

eventviewer 9 сентября 2010, 23:39 # ↑

Продвинутых провайдеры включают сайты банков-эмитентов. Поддерживающих эмиссию с 3ds в России не много, может быть 10 банков.

eventviewer 9 сентября 2010, 23:22 #

Verified by Visa не означает что банк «прошел проверку в Visa», это означает что авторизация транзакций проводится с использованием 3D-secure.Печально что такая ошибка возникает и нет проверки. Не уверен что здесь возможен SQL-injection, проверить нет желания, ибо могут расценить как попытку взлома, пусть даже в благих целях. Завтра напишу в процессинг банка, пусть правят.

Hint 9 сентября 2010, 23:29 # ↑

Я понимаю, что «Verified by Visa» — это технология (дополнительная защита паролем), но переводится фраза однозначно (далеко не каждый, глядя на логотип, понимает, о чем на самом деле идет речь). В службу поддержки (адрес указан на странице) я написал в первую очередь.

khailo 9 сентября 2010, 23:33 #

Если на картинке ваш реальный номер карточки и реальный код безопасности — ждите неожиданных транзакций

kuzya555 10 сентября 2010, 00:20 # ↑

Вы правла думаете, что автор такой идиот?

eventviewer 9 сентября 2010, 23:35 #

Особенно master card secure code — 3ds в мастер карде

serkys 9 сентября 2010, 23:47 #

Я так понимаю, номер карты и CVC2 фиктивные?

naum 10 сентября 2010, 01:37 # ↑

Судя по тому что сейчас их не видно и не понятно о чем вы — были валидные :)

naum 10 сентября 2010, 01:38 # ↑

Ой я глупый, думал вы в логах увидели их увидели. Впредь буду внимательнее.

vk2 10 сентября 2010, 02:07 # ↑

Зачем «понимать», если можно просто подсчитать контрольную сумму на номере карты.

Нет, не валидные :)

serkys 10 сентября 2010, 10:59 # ↑

Что за контрольная сумма? Расскажите, пожалуйста.

xn__p2a 10 сентября 2010, 11:14 # ↑

Номера платёжных пластиковых карт формируются особым образом.
Первая цифра указывает платёжную систему:
3 — American Express
4 — VISA
5 — MasterCard
6 — Maestro
Далее номер, указывающий конкретный банк, уникальный идентификатор карты внутри этого банка и т.д.

И последняя цифра номера карты — это контрольная сумма, т.е. эта цифра получается по особому заранее известному алгоритму из всех предыдущих цифр номера карты. Используется это для проверки правильности ввода. Т.е. в системах, где требуется ручной ввод номера карты (например, в платёжных системах в интернет-магазинах) можно сразу при вводе посчитать контрольную сумму введённого номера по известному алгоритму и сравнить с последней цифрой номера. Если совпало — номер введён верно, если не совпало, то значит пользователь в какой-то цифре при вводе ошибся, тогда ему выводится соответствующее уведомление, чтобы он перепроверил и исправил введённый номер ещё до отправки его в платёжную систему.

xn__p2a 10 сентября 2010, 11:18 # ↑

Алгоритмы с контрольным числом, которое помещается в сам номер, используются во многих местах: Банковские арты, ИНН, ОКПО, штрих-коды, номер пенсионного страхования, социальная карта, идентификатор ценных бумаг и др.
ru.wikipedia.org/wiki/Контрольное_число

serkys 10 сентября 2010, 11:48 # ↑

Спасибо, очень интересно

Wott 10 сентября 2010, 00:10 #

Имя вписываемое в holder's name вообще-то должны были предоставить для проверки в форме и потом еще просят проверить при выдаче карты… ну по крайней мере в нормальных банках.

Программисты они такие бывают. После «без пробелов», можно ожидать все что угодно :)

Ну и напоследок, данные о совершенной транзакции надо куда-то фиксировать. Номер карты или CVV2 конечно нехорошо созранять, но почему бы не сохранить и фамилию плательщика.

mono2k 10 сентября 2010, 00:19 #

1) Введите имя без апострофа, по-идее банк не проверяет эту информацию.
2) Verified by Visa подразумевает редирект на сайт вашего банка, где вы будете должны подтвердить транзакцию. Банк, естественно, должен поддерживать соответствиующий протокол, 3D Secure.

Romeo_spb 10 сентября 2010, 11:57 # ↑

2) VbV не всегда подразумевает редирект на сайт банка и ввод пароля. Карта может быть not involved, что значит «3DS поддерживается, но пароль не нужен».

amlet 10 сентября 2010, 00:39 #

Знаю я этого провайдера, сам на нём сижу. У них ещё и в инструкции к оплате через личный кабинет Qiwi неправильная информация и неправильный скриншот (там говорится нажать Оплатить, хотя на скриншоте такой кнопки вообще нет). Вообще, у них почти вся последовательность оплаты неправильна (либо неполная), вот и получается, что обычный пользователь попробует, плюнет и решит в будущем (и сейчас) платить через терминал. Так что вот такие пироги…

neuotq 10 сентября 2010, 00:54 #

А я имя держателя никогда не заполняю.(у меня интернет карта, на де факто виртуальна, и имя держателя на ней отсутствует, хотя теоретически там такое же как на других моих картах) Пока что все транзакции проходят.

ColorPrint 10 сентября 2010, 01:48 # ↑

вроде обычно это обязательное для заполнения поле )

neuotq 10 сентября 2010, 11:36 # ↑

Нет, на многих сайтах использовал оплату через подобную схему(3d-secure и verified by visa) и нигде ни разу не было ошибки. Украинские, российские банки, paypal и др все отлично проходило.
Может потому что у меня у карточки это поле пустое в самой системе. Я же указал что она виртуальная, у меня от нее есть только номер,cvv и срок действия.

ColorPrint 10 сентября 2010, 11:53 # ↑

Самим биллингом это поле обычно не проверяется (как и адрес в случае России), но это не значит что его не нужно заполнять )
Поле называется cardholder name и туда вводится имя держателя карты, независимо от того есть оно на карте или нет )

neuotq 10 сентября 2010, 11:55 # ↑

Я просто хотел сказать, что не заполнение этого поля к проблемам у меня еще не приводило.
Естественно это не доказательство того что они не могут вдруг всплыть.
Так поделился опытом.

AusTiN 10 сентября 2010, 01:58 #

>Без пробелов
функции trim(), ctype_digit() и strlen() видать не для этих суровых программистов, да…

xn__p2a 10 сентября 2010, 03:01 #

У всех имя как имя, один вы Д'Артаньян.

swibl 10 сентября 2010, 08:29 #

Ждем поста «Терминалы QIWI — не панацея»

rubyrabbit 10 сентября 2010, 09:15 #

А почему нельзя назвать имена, чтобы народ знал «героев»? Чтобы поиск в Яндексе и Гугле ссылку на эту статью в топ-10.

Nubilius 10 сентября 2010, 09:28 # ↑

Как заметил easyman, имена есть тут habrahabr.ru/sandbox/18209/

Serenevenkiy 10 сентября 2010, 09:38 #

«Мастер-баааааанк» — сеть стоматолооогий
Ноооомер наааш едииииииин…

Hint 10 сентября 2010, 10:35 #

До публикации статьи я отправил e-mail в службу тех. поддержки банка. Только что получил довольно забавный ответ. Стоит ли его публиковать или это нарушит правила переписки?

Hint 10 сентября 2010, 10:40 # ↑

Если своими словами, то сотрудник банка не верит, что имя на карте указано с апострофом, и рекомендует мне пропустить его при заполнении соответствующего поля.

a97 10 сентября 2010, 11:19 # ↑

Предложите ему пари )))

CrazyRad 10 сентября 2010, 11:40 # ↑

Ох-ё!!! Я так сразу и подумал, что хотфиксом будет инструкция «Вводите имя без апострофов» и не факт что будет дальнейший фикс.

xn__p2a 10 сентября 2010, 10:45 # ↑

Ничего это не нарушит.
Если бы обе стороны переписки были частными лицами, то это была бы личная переписка, для обнародования которой нужно согласие обеих сторон.
А в данном случае частное лицо только вы, а на той стороне официальное лицо, представляющее банк, поэтому для опубликования достаточно только вашего желания.

navion 10 сентября 2010, 12:07 #

Смотрю я на такие формы и ужасаюсь — почему её нельзя сделать похоже на карту? Неужели у банков нет денег на специалистов по юзабилити?

В данном случае, срок действия: на карте он написан в формате ММ/ГГ, в форме месяц указан прописью, а год в формате ГГГГ.
С CVC2/CVV2 тоже косяк — зачем-то просят указать о его наличии и просят ввести перед именем, хотя на большинстве карт он расположен сзади.
В некоторых формах требуют указывать ПС карты, вместо того, чтобы определить её по номеру.

eventviewer 10 сентября 2010, 13:16 # ↑

Опеределить не проблема, такой выбор успокаивает кастомера.
А пример формы — пожалуйста.

ClusterM 10 сентября 2010, 12:39 #

А зачем было идти до автомата QIWI, когда сама система QIWI позволяет оплачивать услуги с карты? И у них таких косяков нет.

Hint 10 сентября 2010, 12:46 # ↑

Потому что интернет был отключен, а сайт QIWI не добавлен провайдером в специальную зону свободного доступа.

ClusterM 10 сентября 2010, 12:51 # ↑

Ясно. У нас добавлен.
Можно ещё киви-клиент для мобильника использовать, тоже очень удобно.

CLaiN 10 сентября 2010, 12:54 # ↑

Наверное потому что интернет не оплачен?

Я буду обновлять комментарии… Я буду обновлять комментарии… Я буду обновлять комментарии…
Я буду обновлять комментарии… Я буду обновлять комментарии… Я буду обновлять комментарии…
Я буду обновлять комментарии… Я буду обновлять комментарии… Я буду обновлять комментарии…

xn__p2a 10 сентября 2010, 12:57 # ↑

Некоторые провайдеры делают в личном кабинете «доверенный платёж», т.е. авансом продлевают интернет, и ты в течение 3-х суток должен оплатить его.
Это удобно. Даже если забыл вовремя оплатить, включаешь доверенный платёж и уже через 5 минут гасишь его через интернет-банк, к которому получил доступ через авансом включенный инет.

CLaiN 10 сентября 2010, 13:01 # ↑

Спасибо, Кэп. Сам таким пользуюсь.

А ТС, судя по содержанию посту — нет.

sigizmund 10 сентября 2010, 13:35 #

Я на эти Verified by Visa/MC регистрировался вообще исключительно с матом и по телефону со службой поддержки. Но работают вроде пристойно.

Deranged 10 сентября 2010, 14:00 #

Интересно, сколько «хакеров» уже обломалось при попытке оплатить что-нибудь онлайн по указанным в скриншоте реквизитам, в порыве «омгхялява!!!1»? :)

bliznezz 10 сентября 2010, 14:35 # ↑

номер сильно красивый…
было дело — коллеге пришла смс о том что он выиграл 100500 млн. итальянских долларов. вот только купите ваучер пополнения на киевстар и перезвоните и продиктуйте код пополнения.
ну начал диктовать:
двенадцать, тридцать четыре, пятьдесят шесть… бросили трубку с той стороны.

–1

rbkmoney 10 сентября 2010, 17:01 #

это поле не проверяется

pentarh 10 сентября 2010, 19:38 #

Verified by VISA это ТЕХНОЛОГИЯ, входящая в стандарт 3D Secure, позволяющая аутентифицировать все три стороны (3-Domain), участвующие в трансакции для предотвращения фрода.

Народ, эта надпись НЕ ОЗНАЧАЕТ что сайт был проверен визой. Это должно означать что биллинг поддерживает 3D Secure аутонтификацию.

Похоже, программисты банка и об этом не вкурсе 8)

kid 11 сентября 2010, 09:25 #

У Google в одной из формочек такая же уязвимость была, писал им — забили :( печаль

Информационная безопасность