Recent, din nimic de făcut, a intrat în WebMoney Keeper Classic și a observat o trăsătură amuzantă care poate fi folosită cu un anumit beneficiu.
După cum știți, plata prin Keeper Classic nu pot fi integrate direct în browser-ul web, de exemplu, să inițieze o plată poate fi de la orice aplicație care rulează în cazul portar. Sistemul de inițiere este simplu: atunci când portarul ridică serverul de web standard (pe portul 2803), care, la o anumită cerere arată utilizatorului o fereastra cu detalii privind plata. Mi se părea că, într-o astfel de schemă, ar fi logic să presupunem că serverul web este legat la localhost, dar nu este.
Keeper vă permite să accesați serverul de web din exterior, astfel încât, dacă nu stai în spatele unui router / proxy / ce protejarea-orice-porturi și se execută faza, oricine poate crea și trimite cererea dvs. deținător, în urma căruia veți vedea fereastra de plată, de exemplu, este:
Conținutul câmpurilor "vânzător", "cantitate" și "bunuri" poate fi generat independent. Desigur, această acțiune nu ne permite să realizăm un impact distructiv asupra computerului țintă, dar există câteva puncte negative:
- Puteți seta utilizatorul în ferestre pop-up (unii încep să creadă că computerul lor a fost hacked)
- Dacă utilizatorul introduce în câmpul de cod pentru confirmare, în schimb veți primi o adresă URL cu o redirecționare care conține WMID-ul său
- Este teoretic posibil să cumpere mărfurile în așa fel pentru alții, dacă vom merge la interfața web de pe forma de plată a oricăror bunuri, date de plată de spionaj în codul sursă al paginii, numărul imaginii (codul), și apoi trimite o cerere la suma de kakomu- interes și în descrierea mărfurilor indicați ceva de genul: Introduceți codul 12345
Poate că există alte pericole, de exemplu, am observat că atunci când se specifică numere mari ca suma de plată, conținutul câmpului de descriere a produsului începe să fie parțial suprascris. În general, fi vigilent.
Pentru cei care doresc să se joace în jurul cu pregătirea cererilor - un mic program la Sharpe, care vă permite să specificați ip, port, cantitatea, descrierea de plată și trimite cererea.
Răspunsul serverului este afișat în câmpul inferior al ferestrei programului.
Descărcare: zip