06.12.2016, 01:20
|
|
Новичок
Регистрация: 06.12.2009
Сообщений: 1
С нами:
8647616
Репутация:
0
|
|
наверное это уязвимость какого то отдельного банка, а то выходит больно мощная уязвимость которую не могли не заметить раньше,
всегда думал что количество попыток там сильно ограничено, хотя возникает вопрос, что делать если злоумышленники, например конкуренты, знают номер карты и постоянно делают попытки оплаты, тем самым блокируя возможность сделать оплату настоящему владельцу
Сообщение от +
↑
Аналогичный распределенный брутфорс был использован для подбора CVV-кода: так как в CVV-коде всего три цифры, атакующему понадобится сделать не более тысячи предположений.
странно что его можно отдельно брутфорсить, а не все данные разом отсылать, а банк в ответ говорит верны ли все данные вместе срок действия + cvv |
|
|
06.12.2016, 12:39
|
|
Новичок
Регистрация: 05.12.2016
Сообщений: 2
С нами:
4967606
Репутация:
0
|
|
Прикольно)) берем в работу) Осталось найти программу)
|
|
|
|
06.12.2016, 18:44
|
|
Познающий
Регистрация: 30.01.2014
Сообщений: 87
С нами:
6465206
Репутация:
33
|
|
Сообщение от trolex
↑
странно что его можно отдельно брутфорсить, а не все данные разом отсылать, а банк в ответ говорит верны ли все данные вместе срок действия + cvv
Как я понял, предполагается, что дату ты знаешь.
|
|
|
|
06.12.2016, 19:38
|
|
Флудер
Регистрация: 24.12.2011
Сообщений: 4,497
С нами:
7571126
Репутация:
373
|
|
Ох чую кто-то пошопится на таких новостях...
|
|
|
|
06.12.2016, 19:43
|
|
Новичок
Регистрация: 06.12.2009
Сообщений: 1
С нами:
8647616
Репутация:
0
|
|
Сообщение от Раrаdох
↑
Как я понял, предполагается, что дату ты знаешь.
дату они сбрутфорсили
Сообщение от +
↑
Срок «жизни» большинства карт составляет 60 месяцев, и исследователям потребовалось лишь несколько секунд, чтобы разослать всем 342 сайтам запросы с разными комбинациями дат и подобрать нужную.
видимо так уязвимость ещё в том, что позволяет один параметр отдельно брутфорсить, если бы данные все одновременно проверялись, то комбинаций было бы намного больше
|
|
|
|
06.12.2016, 22:06
|
|
Познающий
Регистрация: 30.01.2014
Сообщений: 87
С нами:
6465206
Репутация:
33
|
|
Сначала дату, затем CVV (на основе того, что дату ты уже сбрутил.
|
|
|
|
07.12.2016, 00:47
|
|
Постоянный
Регистрация: 13.10.2012
Сообщений: 423
С нами:
7147766
Репутация:
52
|
|
Уже давно думал об этом, но до эксперимента руки не доходили из-за отсутствия мотивации.
Кроме того, некоторые шопы требуют ввода не только срока действия, но и правильного имени+фамилии.
Если для покупки нужны только номер карты, cvv и срок действия то:
Число комбинаций cvv-кода = 999
Число комбинаций дат (если срок действия карты до 3 лет) 12*3 = 36
Итого нам надо попыток покупки: 999*36 = 35964
Если мы сделали брут для 1000 шопов то на каждый шоп получится 36 попыток покупки.
Сделать поддержку хотябы 100 шопов - это дохерища работы, у одного человека как минимум на месяц. Если это реализуют то народ будут грабить в промышленных масштабах. По мелочи не получится. Хотя, если сделать под один популярный движок шопа то уже работы меньше. Вообще меня всегда удивлял идиотизм карточных систем. Сделать cvv-код длиной в 3 цифры - это верх идиотизма.
Сообщение от StaFFF
↑
Осталось найти программу)
Ага, ищи. |
|
|
|
07.12.2016, 01:19
|
|
Познающий
Регистрация: 25.10.2007
Сообщений: 46
С нами:
9761387
Репутация:
2
|
|
Давно уже видел ребята на тематических бордах обсуждали и практиковали данный способ. Не знаю правда успешно или нет))
|
|
|
|
07.12.2016, 06:22
|
|
Новичок
Регистрация: 06.12.2009
Сообщений: 1
С нами:
8647616
Репутация:
0
|
|
Сообщение от pas9x
↑
Если для покупки нужны только номер карты, cvv и срок действия то:
Число комбинаций cvv-кода = 999
Число комбинаций дат (если срок действия карты до 3 лет) 12*3 = 36
Итого нам надо попыток покупки: 999*36 = 35964
там прикол в том, что каждый параметр по отдельности брутят, хотя я кажется догадался как, вспомнил что некоторым магазинам достаточно только номера карты и срока действия, на них подбирают срок действия, а cvv подбирают на других магазинах,
однако остаётся не ясно как они брутят номер карты, там же 16 знаков, даже если на каждого жителя планеты приходится по одной карте, то это 9 знаков, остаётся ещё 7 знаков, то есть 10 млн вариантов на одну карту, может номера картам по порядку выдают, и ещё не понятно где проверить номер на валидность
|
|
|
|
07.12.2016, 10:21
|
|
Новичок
Регистрация: 22.08.2016
Сообщений: 2
С нами:
5118806
Репутация:
0
|
|
Сообщение от trolex
↑
там прикол в том, что каждый параметр по отдельности брутят, хотя я кажется догадался как, вспомнил что некоторым магазинам достаточно только номера карты и срока действия, на них подбирают срок действия, а cvv подбирают на других магазинах,
однако остаётся не ясно как они брутят номер карты, там же 16 знаков, даже если на каждого жителя планеты приходится по одной карте, то это 9 знаков, остаётся ещё 7 знаков, то есть 10 млн вариантов на одну карту, может номера картам по порядку выдают, и ещё не понятно где проверить номер на валидность
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
