A hacker megtalálta a módját, hogy rendeljen egy ingyenes pizza dominó és sikeresen teszteltük
Brit kutató Pol imádkozik (Paul Price) hibát észlelt a helyi Domino Pizza alkalmazást. A hiba lehetővé teszi a kutatók számára, hogy pizzát ingyen, de annak tudatában, fehér kalapos hacker, Ár nem marad csendben a biztonsági rés a személyes nyereség.
API brit változata Domino Pizza alkalmazás Androidra megjelent tele lyukakkal: Ár észrevette, hogy a fizetési információk feldolgozása nem teljesen helyes. Általános szabály, hogy a fizetési feldolgozás következik be a szerver oldalon, de a Domino alkalmazás kifizetések folyamatát a saját, közvetlenül a kliens oldalon. Ha a kutató úgy döntött, hogy részletesebben vizsgálja a problémát, azt tapasztaltam, hogy az alkalmazás csalni és rávenni, hogy úgy vélik, hogy az érvénytelen fizetési tényleges megtörténtét.
Az árak a vizsgálati bevezetett alkalmazás Visa kártya számát 4111111111111111 és kapott egy kiszámítható választ hiba.
Ezután a kutatók megpróbálták helyettesíteni az attribútum értékének
#xAB; Az első gondolatom az volt - osztály! A második gondolatom az volt - hell # xbb; - Ár írta blogjában.
Ennek eredményeként, a kutató azt mondta a futár, hogy volt valami hiba, nem ő hozta be az alkalmazás adatait a hitelkártya és a kezdetektől fogva akart fizetni készpénzben. Fizessen a számlát készpénzben, Ár megtisztul a lelkiismerete, és elment, hogy jelentse a talált réseket Domino fejlesztők. Jelenleg, a hiba megszűnt, és a cég képviselői megköszönték a kutatók az éberség.
Kiderült, hogy az alkalmazás logika körülbelül a következő:
Jelentés placeOrder () megy Domino API HTTP-szerű kérelem, ahol ORDER_ID egy szám, amelyet a sorrendben a folyamat létrehozása és