If you have any questions, contact us:
Telegram:maintex
ICQ:1607000

  #1 Old 08-22-2013, 04:27 PM
Cartographer
 
Cartographer's Avatar
 
Join Date: Aug 2013
Posts: 511
Cartographer is on a distinguished road
Default Verified by Visa или бесполезная верификация

Если честно, не знаю куда запостить, ибо не проверял и статья от 11 июля 2011 в 11:22
Вкратце: написано что если VBV за**ать неправильными попытками восстановить VBV-код, то VISA предложит вам продолжить оплату небезопасным способом, т.е. без ввода VBV. Тут уж конечно повысятся шансы на то, что шоп отклонит транзакцию, если он очень не любит оплату без VBV
==================================================

© 11.08.2011 CyberGremlin ссылка: hТТp://habrahabr.ru/post/123843/
В теории механизм Verified by Visa предоставляет покупателю двойную защиту. Во-первых, он подтверждает подлинность продавца. Во-вторых, предохраняет от не авторизированных транзакций, запрашивая пароль на подтверждение транзакции. На практике же возможно провести не авторизированную транзакцию. Данную возможность я даже затрудняюсь классифицировать как уязвимость, так как она предусмотрена системой. Но если так, то возникает вопрос «зачем»?
Ниже я описываю ситуацию, которая произошла со мной сегодня.

1. При попытке совершить оплату картой Visa, продавец перенаправил на сайт банка-эмитента с механизмом Verified by Visa. Регистрировался на использование данного сервиса я давно, несколько лет назад, и с тех пор не пользовался. В пароле не был уверен. Не проблема, присутствует опция обнуления и изменения пароля.

2. Воспользовавшись данной опцией я перешел к форме ввода данных на обнуление пароля. Механизм обнуления пароля мои данные не принял, выдав ошибку о невозможности подтверждения некоторых данных (оно и понятно, незачем злоумышленнику знать каких именно). Система так же указала, что теперь необходимо ввести код подтверждения, получить который необходимо у банка-эмитента.

3. Логично предположив, что на данном этапе система будет ожидать кода подтверждения выданного банком (который я кстати не запросил), пытаюсь повторить транзакцию. Оказалось нет, система не запрашивает ни пароль ни код верификации, а сразу выдает форму обнуления пароля. Ввожу данные повторно и дальнейшее повторяет пункт 2.

4. На данном этапе меня заинтересовал этот процесс и я решил проверить существует ли лимит на ввод данных. Точное количество раз я не посчитал, но лимит был достигнут довольно быстро. После достижения лимита система выдала сообщение о его превышении. Но самое интересное было чуть ниже, где система сообщала о том, что я по прежнему могу провести транзакцию, но она будет незащищенной.

5. В очередной раз перейдя на сайт продавца я повторил попытку оплаты. Платеж прошел сразу, в обход механизма Verified by Visa.

В общем получается как в том анекдоте с китайцами и паролем. Систему можно просто «задолбать» на разрешение транзакции.

© 11.08.2011 CyberGremlin
Cartographer is offline   Reply With Quote
Reply

Thread Tools Search this Thread
Search this Thread:

Advanced Search

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump

Similar Threads
Thread Thread Starter Forum Replies Last Post
Verified by Visa/Mastercard SecureCode Cartographer Tutorials 1 12-24-2017 02:27 AM
Verified by Visa and MasterCard Secure Code Cartographer Tutorials 5 12-24-2017 01:43 AM
Verified by Visa и MasterCard Secure Code Cartographer Статьи 0 09-01-2013 01:33 PM
Верификация moneybookers Cartographer Статьи 0 08-23-2013 10:00 PM
Verified by Visa и MasterCard Secure Code Cartographer Статьи 0 08-22-2013 04:29 PM


Cybercrime forum, cybercrime site, ,fraud forum, russian fraud forum, Credit cards, carder, infraud, carders.ws, crdpro, fraudsters, darkpro, crdcrew, dumps, cvv, cc, stuff carding, legit seller, vendor, free cvv, dumps+pin, skimmer, ,shimmer, emv software, emv chip writer, free cc+cvv, valid cards, track 2, free cvv, dump pin, dumps, cvv, cc, credit cards, real carding, legit vendor, carder forum, carding tutorial, russian hackers, online cvv shop, track 101, enroll, fullz