Фейковые заказы

[Helloween]

Еще один мне в личку отписался, что тоже на simple фейки поймал.

Раз уж он не стал писать сюда, а написал в личку - не буду его светить. Просто ведем счет = 2

[fijneman]

Тоже симпла, но древняя (3.8.3) - никакого спама нема. 

[deeman]

мне, как автору модуля, уже отписались трое, которые используют модуль старых версий, причем использовали модуль давно.

посмотрел заказы - из совпадений en-US, одни подсети и везде почта яндекса, еще используются простые варианты оплаты.

в модуле сделаю обновление, добавлю проверку, человек ли это.

 

а стандартный заказ не подходит для атаки, потому что каждый шаг собирает данные в сессию и шаги обмениваются данными через нее, то есть чтобы 6 шаг мог оформить заказ нужно вызвать все предыдущие.

 

честно говоря не могу понять смысл таких атак

[chukcha]

 

из совпадений en-US, одни подсети и везде почта яндекса, еще используются простые варианты оплаты.

Да-да, вот это и интересно..., еще интересен был бы сбор статистики по UA

Ощущение такое, что кто-то построил небольшую ботсеть, Или готовится к выпуску новый супернадежный движок ИМ.

[worstman]

У нас симпла, версию не могу сказать.

Поставили пока временно отлуп браузера с англ. языком, но вчера пробился один с русским языком.

 

ru-RU,ru;q=0.8;en-US;q=0.6,en;q=0.4

[worstman]

мне, как автору модуля, уже отписались трое, которые используют модуль старых версий, причем использовали модуль давно.

посмотрел заказы - из совпадений en-US, одни подсети и везде почта яндекса, еще используются простые варианты оплаты.

в модуле сделаю обновление, добавлю проверку, человек ли это.

 

а стандартный заказ не подходит для атаки, потому что каждый шаг собирает данные в сессию и шаги обмениваются данными через нее, то есть чтобы 6 шаг мог оформить заказ нужно вызвать все предыдущие.

 

честно говоря не могу понять смысл таких атак

 

А как проверять человека будете? Мы думали включить капчу - но мне кажется что если цель атаки серьезная, то и капча не будет проблемой.

 

Не могу понять - кто жертва? ИМ или клиент?

[Helloween]

А как проверять человека будете? Мы думали включить капчу - но мне кажется что если цель атаки серьезная, то и капча не будет проблемой.

 

Не могу понять - кто жертва? ИМ или клиент?

 

Капча - вещь бесполезная. Фишка в том, что помимо роботов, которые легко распознают капчу, есть бизнес по собиранию / разгадыванию капчи. И если кому-то надо спамить - он включит автораспознавание, или подключит этих человечков-распознавателей, которые за копеечку вам и пазл соберут, и циферки введут, и сиски покажут.

Так что, капча, в лучшем случа, даст вам короткую передышку.

 

Жертва, в конечном итоге, весь бизнес, основанный на он-лайн продажах. Так как подобные заказы рассылаются во все ИМ, в которых найдена уязвимость, а имена, телефоны и адреса используются реальные. Таким образом, люди будут все чаще получать звонки от различных ИМ и рано или поздно, их это взбесит. Естественно, они будут с негативом и недоверием относиться к ИМ, будут стараться не оставлять свои данные, или оставлять минимум данных, либо будут отказываться от заказа в магазине, требующем много данных.

В итоге может дойти до того, что придется ВСЕ поля сделать необязательными. Типа - какое заполнят, по тому и связывайся.

[chukcha]

А как проверять человека будете? Мы думали включить капчу - но мне кажется что если цель атаки серьезная, то и капча не будет проблемой.

 

Не могу понять - кто жертва? ИМ или клиент?

Вот так сразу вам и скажи... :)

 

 

Жертва Интернет магазины. Проверка на стрессоустойчивость :)

[worstman]

я думаю лучше всего использовать активацию заказа через смс/почту

[Nashlab]

Если у вас письма только с яндекса это тока начало (у меня половина mail.ru) - так как обслуживаю несколько магазинов - симпла, стандарт или
Ajax Quick Checkout - пофиг - если была капча то обходит - если поставить то сутки двое тишины потом опять.
 
Помогает к примеру поле фамилия (в другом случае имя отчество) без обязательного заполнения - нормальный человек заполняет - кто спамит пропускает.
 
 
ЭТО НЕ УЯЗВИМОСТЬ это правильно настроенный Human Emulator и отключенные ява скрипты (по этому метрика не запускается и ничего не фиксирует) хотя в принципе я бы на такое и XRumer заточил бы.

 

 

Точно не уязвимость - так как имею один магазинчик без базы - долго ржал после письма

 

"Здравствуйте,я нашел уязвимость вашего сайта,через которую можно управлять базой данных и хостингом,могу помочь закрыть уязвимость за вознаграждение. Имеются доказательства.Если интересует напишите мне."

Змінено 12 березня 2015 користувачем Nashlab

[chukcha]

рассылаются во все ИМ, в которых найдена уязвимость

 

Какая уязвимость?

 - это недостаток простой формы заказа, которая существует во многих ИМ

[worstman]

Кстати, бот риквестит только шаблон стандартной версии, мобильная версия пока ботами не используется.

[deeman]

Да-да, вот это и интересно..., еще интересен был бы сбор статистики по UA

Ощущение такое, что кто-то построил небольшую ботсеть, Или готовится к выпуску новый супернадежный движок ИМ.

дело то не в надежности движка, а в желании кого-то что-то сделать или доказать.

если даже люди автоматически генерят gmail овские акки, хотя там проверок и вариантов защиты море, плюс банят акки налево и направо, то что уж говорить о банальных интернет-магазинах.

я уже написал одному своему клиенту, что на проведение подобных атак нужны ресурсы и какая-то цель, вечно и неограниченно проводиться атака не может.

 

и еще - атакуются старые версии, а новые нет, потому что в новых чуть изменена логика работы и имена полей другие, то есть для кого-то было сделано ТЗ, что будем атаковать, ну и плюс ко всему старая версия уже давно лежит в открытом доступе где только возможно и ставят ее налево и направо

 

а проверку хотя бы простую - страница должна быть загружена по гет запросу, скрипты должны запуститься, человек должен поводить мышкой, покликать на полях.

но даже это не панацея, потому что все это может быть сэмулировано, все зависит от желания атакаующего. а простые формы заказа выбираются потому, что в них как правило одна точка входа и данные можно послать одним запросом, в пошаговом нужно сделать больше шагов для создания заказа, а это лишние расходы.

 

 

пока писал - пришла идея, может кто-то решил продвинуть свою систему по защите от подобных атак? тогда совсем скоро появится система, которая будет предоставлять услуги по проверке данных покупателей на реальность. проверкой на фрод у нас в стране пока не заморчивался никто особо сильно. вот вам и цель для подобных атак

[Helloween]

пока писал - пришла идея, может кто-то решил продвинуть свою систему по защите от подобных атак? тогда совсем скоро появится система, которая будет предоставлять услуги по проверке данных покупателей на реальность. проверкой на фрод у нас в стране пока не заморчивался никто особо сильно. вот вам и цель для подобных атак

 

Ага, именно! Эта система будет звонить персонажу и проверять, он ли это, потом, на всякий случай, звонок на работу, руководителю, потом звонок участковому, в нарко- и псих- диспансеры, проверка СНИЛС, ну и опрос соседей... А потом - заказ будет падать в админку как "упущенный" :)

[deeman]

Ага, именно! Эта система будет звонить персонажу и проверять, он ли это, потом, на всякий случай, звонок на работу, руководителю, потом звонок участковому, в нарко- и псих- диспансеры, проверка СНИЛС, ну и опрос соседей... А потом - заказ будет падать в админку как "упущенный" :)

ну хоть какой-то смысл в атаках должен быть? не просто же так кто-то тратит свои ресурсы на всё это?

[Nashlab]

Смысл -кроме того что жрутся ресурсы сервера и нервы манагеров. А спамеру какие затраты - максимум час проэкт сделать, какие тут ресурсы - мне тут конкуренты по 1000 - 1500 заказов вливали таким же способом - вот где ресурсы.

 

"Здравствуйте,я нашел уязвимость вашего сайта,через которую можно управлять базой данных и хостингом,могу помочь закрыть уязвимость за вознаграждение. Имеются доказательства.Если интересует напишите мне."

 

Вот весь смысл - дайте денег - почти все атаки на магазины которые по каким то запросам (которые посчитали денежными) в пределах второй страницы яндекса.

 

Ну успокоится этот школьнег  и все наладится - школьнега удавят (низя столько скриптов битрикс друпал Virtuemart InSales) - хотя идея.....

Местоположение: Ukraine Никополь
Провайдер: PP MainStream
Организация: PP MainStream
IP адрес: 176.112.30.37

Но это так :ugeek:  не подумайте чего - да и школьнег не потому что в школе.

Змінено 12 березня 2015 користувачем Nashlab

[Helloween]

Смысл -кроме того что жрутся ресурсы сервера и нервы манагеров.

 

"Здравствуйте,я нашел уязвимость вашего сайта,через которую можно управлять базой данных и хостингом,могу помочь закрыть уязвимость за вознаграждение. Имеются доказательства.Если интересует напишите мне."

 

Вот весь смысл - дайте денег - почти все атаки на магазины которые по каким то запросам (которые посчитали денежными) в пределах второй страницы яндекса.

 

Ну успокоится этот школьник (вроде как украинский) и все наладится - школьнега удавят (низя столько скриптов битрикс друпал Virtuemart InSales) - хотя идея.....

 

Но это так :ugeek:  не подумайте чего

 

Во-избежание розжига политических дискуссий, рекомендую отредактировать сообщение, удалив из него геолокацию школьника, так как вы не имеете прямых доказательств и, по сути, это к делу вообще не имеет отношения.

Ну а так, школьник, или нет - не важно. Вопрос, я думаю, решится быстро и легко. Скорее всего, решение лежит на поверхности. Надо просто кому-то покопаться в дырявых файлах. :)

[deeman]

Во-избежание розжига политических дискуссий, рекомендую отредактировать сообщение, удалив из него геолокацию школьника, так как вы не имеете прямых доказательств и, по сути, это к делу вообще не имеет отношения.

Ну а так, школьник, или нет - не важно. Вопрос, я думаю, решится быстро и легко. Скорее всего, решение лежит на поверхности. Надо просто кому-то покопаться в дырявых файлах. :)

причем тут дырявость файлов, если во-первых, атакованы все популярные движки, во-вторых, все данные можно отправить пост запросом и если все они валидны нет никаких оснований не оформлять заказ, проверки то все пройдены. ну а в-третьих, то что не работает метрика, совсем не говорит о том, что заказы пишутся напрямую, метрика то работает на стороне клиента, если делать гет-пост запросы на сервер, то никакая метрика их не запишет, джаваскприты даже не используются

[Nashlab]

Нет дырявых файлов и решение да на поверхнности -  там где регистрация как у wildberries и без регистрации покупку не совершить проблем нет.

[Helloween]

Нет дырявых файлов и решение да на поверхнности -  там где регистрация как у wildberries и без регистрации покупку не совершить проблем нет.

У меня стоковая система заказа, включая заказ БЕЗ регистрации, фейковых заказов нет.

 

причем тут дырявость файлов, если во-первых, атакованы все популярные движки...

 Фейки появились у тех, кто ставил модуль симпл, насколько нам удалось выснить. В чем проблема на различные движки адаптировать модуль симпл? 

[deeman]

У меня стоковая система заказа, включая заказ БЕЗ регистрации, фейковых заказов нет.

 

 Фейки появились у тех, кто ставил модуль симпл, насколько нам удалось выснить. В чем проблема на различные движки адаптировать модуль симпл? 

"проблема" в том, что модуля симпл на других движках нет, вообще не понимаю, зачем его туда адаптировать? ну хорошо, в опенкарте вы этот модуль обвиняете в смертных грехах, но причем тут он и другие движки?

а стоковая система сама по себе является защитой в силу своей многоходовости, каждый шаг кладет данные в сессию, чтобы сформировать заказ нужно последовательно послать все данные на все шаги и только в конце уже послать запрос для оформления заказа.

[Helloween]

"проблема" в том, что модуля симпл на других движках нет, вообще не понимаю, зачем его туда адаптировать? ну хорошо, в опенкарте вы этот модуль обвиняете в смертных грехах, но причем тут он и другие движки?

а стоковая система сама по себе является защитой в силу своей многоходовости, каждый шаг кладет данные в сессию, чтобы сформировать заказ нужно последовательно послать все данные на все шаги и только в конце уже послать запрос для оформления заказа.

Начнем с того, что я не обвиняю, а предполагаю. Я не исключаю, что это просто совпадение. Но очень уж подозрительное!

И закончим на том, что раз стоковая система защищена, значит в симпл - дырка!

Что тут еще можно обсуждать?

 

Ну а по поводу разных CMS - так есть аналоги, есть адаптация, если вы с другими CMS не знакомы - это не значит, что модуль, написанный для одной CMS нельзя запилить для другой.

[deeman]

Начнем с того, что я не обвиняю, а предполагаю. Я не исключаю, что это просто совпадение. Но очень уж подозрительное!

И закончим на том, что раз стоковая система защищена, значит в симпл - дырка!

Что тут еще можно обсуждать?

 

Ну а по поводу разных CMS - так есть аналоги, есть адаптация, если вы с другими CMS не знакомы - это не значит, что модуль, написанный для одной CMS нельзя запилить для другой.

ничего себе логика!

следуя такой логике могу задать вопрос -  а если у вас стоковый заказ и вас это проблема никак не задела, то чего это вы всполошились и трубите, что именно в симпл дырка? какая вам выгода от этого? "Очень уж подозрительно".

Сделать можно все что угодно, только дело будет в том, что это уже не будет модуль симпл, от него там ничего не останется.

А с такими познаниями в программировании помолчали бы о том, что дырка, лучше бы пруфы предоставили.

А иначе дырой можно назвать любую работу любой страницы сайта только потому, что она работает.

[Helloween]

ничего себе логика!

следуя такой логике могу задать вопрос -  а если у вас стоковый заказ и вас это проблема никак не задела, то чего это вы всполошились и трубите, что именно в симпл дырка? какая вам выгода от этого? "Очень уж подозрительно".

Сделать можно все что угодно, только дело будет в том, что это уже не будет модуль симпл, от него там ничего не останется.

А с такими познаниями в программировании помолчали бы о том, что дырка, лучше бы пруфы предоставили.

А иначе дырой можно назвать любую работу любой страницы сайта только потому, что она работает.

Да я смотрю, меня тут сам ГУРУ программирования опустить решил :)

1. Я хотел изменить форму заказа, уже посматривал на модуль симпл и рад, что не сделал этого.

2. Не забудьте заподозрить меня в убийстве Немцова, развале любой страны и... да в чем угодно!

3. Если человек написал модуль быстрого заказа для одной CMS и назвал его симпл, потом адаптировал под другую CMS - срояля ему менять название?!  Он называет его так как хочет. Для удобства назвал так же! ПРУФ?

[deeman]

Да я смотрю, меня тут сам ГУРУ программирования опустить решил :)

1. Я хотел изменить форму заказа, уже посматривал на модуль симпл и рад, что не сделал этого.

2. Не забудьте заподозрить меня в убийстве Немцова, развале любой страны и... да в чем угодно!

3. Если человек написал модуль быстрого заказа для одной CMS и назвал его симпл, потом адаптировал под другую CMS - срояля ему менять название?!  Он называет его так как хочет. Для удобства назвал так же! ПРУФ?

Ну это ваша логика: сделать допущение и взяв обратное от него выдвинуть обвинение, а я просто взял вашу логику и повернул против вас. То есть в мою сторону вы позволяете делать такие допущения, а в свою сторону нет?

Пункт 3. Причем тут я? Я ничего никуда не портировал, как можно делать вывод о дырявости чего-либо только на основании схожести и приятигивать сюда опять же меня? Я это как раз и имел в виду говоря о программировании. Вы понятия не имеете об этом, но делаете какие-то заключения. И я опять же ничего не имел в виду про уровень своих познаний, я только лишь спрашивал вас, есть ли они у вас, чтобы так громкогласно заявлять о дырках? Почему вы опять все вывернули против меня? У вас какая-то личная неприязнь ко мне?

 

Вот ваша логика - вы были в москве в конце февраля, а я не был. Поэтому на этом и закончим - я не убивал немцова, а вы убили.

Ну или немцов дурак, что ходил по москве без бронежилета, он же должен быть на каждом жителе москвы.