Просмотр полной версии : пентест ПДС
кто нибудь задавался вопросами уязвимости клиентсерверной архитектуры ПДС? и есть ли вообще штат тестеров у ucs? нашел одну уязвимость, готовлю материал и паралельно веду переписку с ucs..
VampireKB
20.04.2012, 22:18
кто нибудь задавался вопросами уязвимости клиентсерверной архитектуры ПДС? и есть ли вообще штат тестеров у ucs? нашел одну уязвимость, готовлю материал и паралельно веду переписку с ucs..
а какая именно уязвимость ? возможность запуска приложений через прогу или доступ к БД ?
имея знакомого кассира, можно снимать деньги с карт на кассе, при этом не внося деньги в кассу, а X отчет снятый в любое время для проверки, будет показывать сумму которая физически лежит в денежном ящике.. при этом карты будут уходить в минус, без какого либо кредитного лимита на них в Pcards.exe -> параметры карты..
можно снимать деньги с карт на кассе,
Т.е.? Что значит "снимать"? Оплатить?
есть ли вообще штат тестеров у ucs?
Зачем, когда есть огромное поле бета-тестеров, которые еще и денег платят :)
VampireKB
22.04.2012, 04:48
имея знакомого кассира, можно снимать деньги с карт на кассе, при этом не внося деньги в кассу, а X отчет снятый в любое время для проверки, будет показывать сумму которая физически лежит в денежном ящике.. при этом карты будут уходить в минус, без какого либо кредитного лимита на них в Pcards.exe -> параметры карты..
Это если стоит "без Ограничений" Если ты имеешь ввиду дебетовые карты )
Если я верно помню,то была какая-то команда,чтобы оплата карт производилась с картой менеджера...
да и в ... ну да ладно :)
имея знакомого кассира
Гыгыгы... А имея знакомого киперщика ваще можно такие чудеса "снимать" :rock:
VampireKB
22.04.2012, 15:37
Гыгыгы... А имея знакомого киперщика ваще можно такие чудеса "снимать" :rock:
Смотря какого уровня киперщик )
в РЦ где Я работаю, клиенты могут забирать с собой карты, либо на выходе просто снять.. так вот кассир с сообщником могут не внося деньги в кассу, оперируя суммами и картами только в программе, вбивать карты в минус, при этом снимать реальные деньги.. без особого палева..
Гыгыгы... А имея знакомого киперщика ваще можно такие чудеса "снимать"
киперщик может мутится и сам, не используя никаких ошибок программы.. а я говорю о том что недоработки ПО могут юзать кассиры, при чем если окуратно выхлоп составит до 100 тысяч в месяц :) как только ucs, начнет отвечать на письма, обрисую всю картину подробно :)
VampireKB
22.04.2012, 16:28
в РЦ где Я работаю, клиенты могут забирать с собой карты, либо на выходе просто снять.. так вот кассир с сообщником могут не внося деньги в кассу, оперируя суммами и картами только в программе, вбивать карты в минус, при этом снимать реальные деньги.. без особого палева..
киперщик может мутится и сам, не используя никаких ошибок программы.. а я говорю о том что недоработки ПО могут юзать кассиры, при чем если окуратно выхлоп составит до 100 тысяч в месяц :) как только ucs, начнет отвечать на письма, обрисую всю картину подробно :)
укс не начнет )) дело старое,привычное ))
З.Ы. ЛС читаешь ? :)
лс читаю :) почему ucs не начнет общаться на эту тему? что заничит дело старое привычное?
VampireKB
22.04.2012, 16:38
лс читаю :) почему ucs не начнет общаться на эту тему? что заничит дело старое привычное?
им всё пофиг(с)
им всё пофиг(с)
значит за публинацию каких либо материалов анализа работы их ПО, мне никаких притензий не будет?
VampireKB
22.04.2012, 16:47
значит за публинацию каких либо материалов анализа работы их ПО, мне никаких притензий не будет?
Если только у них прям на форуме тех.поддержки )
значит за публинацию каких либо материалов анализа работы их ПО, мне никаких притензий не будет?
на этом форуме такое уже написано о софте,глюках, проблемах и лично о руководителе юцц ГЛГ, но ко мне никаких претензий :))))
PS, а вообще, юцц никогда особо не предпринимала попыток как-то кому-то мешать, максимум что я видел, это объявы в самом юцц, что господина музыченко(и еще там когото, но уже не помню, а фамилия не на слуху) не консультировать. Но это 2004 год был :))))
http://xorout.ru/archives/category/it-security - вот собсна полный образный(без указания фирмы и названий ПО) обзор..
VampireKB
23.04.2012, 15:32
http://xorout.ru/archives/category/it-security - вот собсна полный образный(без указания фирмы и названий ПО) обзор..
John >>>Belov<<<
:D Совпадение ? ;)
Кстати..Транзакция в Кипере не может быть отменена ))
Т.е. там только два выхода ) ДА и НЕТ,причем при ДА скидка+ дебет остаются ,при НЕТ скидка пропадает,Дебет остается :) (При нажатии кнопки "оплата" также идет сверка с сервером и если сервер не доступен,то идет "НЕТ")
John >>>Belov<<<
:D Совпадение ? ;)
почему совпадение? с кем?
мэн, я говорю про пдс а не про кипер который в баре стоит..
VampireKB
23.04.2012, 15:51
мэн, я говорю про пдс а не про кипер который в баре стоит..
я говорил про списание средств в баре через дебетовую карту что кипер делает основную проверку на кнопке "Оплата",а после "ВВОДА" он делаешь лишь проверку на связь с ПДСкой
ок :) с кем совпадение то мэн, а то заинтриговал, и не ответил? :)
VampireKB
23.04.2012, 16:18
ок :) с кем совпадение то мэн, а то заинтриговал, и не ответил? :)
у чела имя компа Beloff :)
у чела имя компа Beloff :)
к стати ПДС которой мы пользуемся к ucs отношения не имеет :)
VampireKB
23.04.2012, 16:25
к стати ПДС которой мы пользуемся к ucs отношения не имеет :)
смотри ЛС
VampireKB
24.04.2012, 00:13
к стати ПДС которой мы пользуемся к ucs отношения не имеет :)
А тогда хоть что это за система и кто её производитель ? (пруфлинки можно в ЛС)
Страна должна знать своих героев !
в блоге написал скрипт на питоне для выявления карт с отрицательным балансом, с подсчетом общей суммы и выводом всего в файл..
Powered by vBulletin® Version 4.2.6 LTS Copyright © 2025 vBulletin Solutions, Inc. All rights reserved. Перевод: zCarot