产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
依靠mastercard的互联网网关服务(migs)处理在线支付的供应商,应在每次交易发货之前对每个交易进行双重检查,因为独立安全研究员yohanes nugroho在migs协议中发现了一个明显的缺陷,允许黑客欺骗支付系统,并且欺骗商家认为交易成功。yohanes nugroho认为安全系统的验证协议存在严重的缺陷,而且mastercard似乎完全忽视了这一问题。
yohanes nugroho解释说:“这可以说是一个migs客户端错误,但是mastercard选择的哈希方法允许这样做。” “如果mastercard选择加密相关数据,这个问题是不可能发生的。”根据nugroho的调查结果,狡猾的攻击者可以利用这个缺点,在第三方中间支付服务中注入无效值,以便绕过mastercard的系统,直接将请求转交给供应商。
正如yohanes nugroho观察到的那样,交易是否成功的数据不仅没有被migs服务器进行验证,而且甚至没有到达商家服务器端,这些请求仅在客户端进行检查。由于这些数据永远不会到达mastercard的服务器,所以仍然容易受到欺骗。
这意味着,如果成功,黑客将能够通过无效付款交易作为绝对合法的付款证明。虽然商家仍然需要确认交易,但大多数商家在批准请求之前很少检查其银行帐户,这正是为什么这个漏洞是如此令人担忧的原因
试用申请
