[Cartographer]

Если честно, не знаю куда запостить, ибо не проверял и статья от 11 июля 2011 в 11:22
Вкратце: написано что если VBV за**ать неправильными попытками восстановить VBV-код, то VISA предложит вам продолжить оплату небезопасным способом, т.е. без ввода VBV. Тут уж конечно повысятся шансы на то, что шоп отклонит транзакцию, если он очень не любит оплату без VBV
==================================================

© 11.08.2011 CyberGremlin ссылка: hТТp://habrahabr.ru/post/123843/
В теории механизм Verified by Visa предоставляет покупателю двойную защиту. Во-первых, он подтверждает подлинность продавца. Во-вторых, предохраняет от не авторизированных транзакций, запрашивая пароль на подтверждение транзакции. На практике же возможно провести не авторизированную транзакцию. Данную возможность я даже затрудняюсь классифицировать как уязвимость, так как она предусмотрена системой. Но если так, то возникает вопрос «зачем»?
Ниже я описываю ситуацию, которая произошла со мной сегодня.

1. При попытке совершить оплату картой Visa, продавец перенаправил на сайт банка-эмитента с механизмом Verified by Visa. Регистрировался на использование данного сервиса я давно, несколько лет назад, и с тех пор не пользовался. В пароле не был уверен. Не проблема, присутствует опция обнуления и изменения пароля.

2. Воспользовавшись данной опцией я перешел к форме ввода данных на обнуление пароля. Механизм обнуления пароля мои данные не принял, выдав ошибку о невозможности подтверждения некоторых данных (оно и понятно, незачем злоумышленнику знать каких именно). Система так же указала, что теперь необходимо ввести код подтверждения, получить который необходимо у банка-эмитента.

3. Логично предположив, что на данном этапе система будет ожидать кода подтверждения выданного банком (который я кстати не запросил), пытаюсь повторить транзакцию. Оказалось нет, система не запрашивает ни пароль ни код верификации, а сразу выдает форму обнуления пароля. Ввожу данные повторно и дальнейшее повторяет пункт 2.

4. На данном этапе меня заинтересовал этот процесс и я решил проверить существует ли лимит на ввод данных. Точное количество раз я не посчитал, но лимит был достигнут довольно быстро. После достижения лимита система выдала сообщение о его превышении. Но самое интересное было чуть ниже, где система сообщала о том, что я по прежнему могу провести транзакцию, но она будет незащищенной.

5. В очередной раз перейдя на сайт продавца я повторил попытку оплаты. Платеж прошел сразу, в обход механизма Verified by Visa.

В общем получается как в том анекдоте с китайцами и паролем. Систему можно просто «задолбать» на разрешение транзакции.

© 11.08.2011 CyberGremlin