依靠Mastercard的互聯網網關服務(MIGS)處理在線支付的供應商,應在每次交易發貨之前對每個交易進行雙重檢查,因為獨立安全研究員Yohanes Nugroho在MIGS協議中發現了一個明顯的缺陷,允許黑客欺騙支付係統,並且欺騙商家認為交易成功。Yohanes Nugroho認為安全係統的驗證協議存在嚴重的缺陷,而且Mastercard似乎完全忽視了這一問題。
Yohanes Nugroho解釋說:"這可以說是一個MIGS客戶端錯誤,但是Mastercard選擇的哈希方法允許這樣做。" "如果Mastercard選擇加密相關數據,這個問題是不可能發生的。"根據Nugroho的調查結果,狡猾的攻擊者可以利用這個缺點,在第三方中間支付服務中注入無效值,以便繞過Mastercard的係統,直接將請求轉交給供應商。
正如Yohanes Nugroho觀察到的那樣,交易是否成功的數據不僅沒有被MIGS服務器進行驗證,而且甚至沒有到達商家服務器端,這些請求僅在客戶端進行檢查。由於這些數據永遠不會到達Mastercard的服務器,所以仍然容易受到欺騙。
這意味著,如果成功,黑客將能夠通過無效付款交易作為絕對合法的付款證明。雖然商家仍然需要確認交易,但大多數商家在批準請求之前很少檢查其銀行帳戶,這正是為什麼這個漏洞是如此令人擔憂的原因。
本站是國內首家獨立娛樂新聞網站,致力於報道全方位的明星資訊,曾率先報道陳曉旭出家等獨家娛樂消息;與50多家娛樂媒體、300多位娛樂作者具有合作關係,提供最 ...
藍色海洋的傳說 · 十七歲 · 電視 · 林嘉欣 · 明星 · 時尚相關文章
Oittm推出便攜式Apple Watch無線充電器2017年09月07日
[視頻]英特爾Myriad X將成為AI芯片領域的有力競爭者2017年09月07日
臉部識別技術的下一個挑戰是識別臉部被覆蓋的人2017年09月07日
賈躍亭頻約投資人 樂視汽車融資或近期敲定2017年09月07日
小米再對MIX2進行預熱 主要突出"無邊框"主題2017年09月07日
紮克伯格在家中招待三名DACA移民 呼籲國會立法保護2017年09月07日
LandingZone推出為最新MBP設計的多功能桌麵擴展塢2017年09月07日
微信"零錢通"死磕餘額寶 馬雲曾表態:這是好事2017年09月07日
記者暗訪中關村手機業亂象險遭壯漢控製 狂奔脫身2017年09月07日
Mozilla為《華盛頓郵報》全站部署開源的Talk評論係統2017年09月07日
没有评论:
发表评论