PDA

Просмотр полной версии : пентест ПДС



vince
20.04.2012, 22:07
кто нибудь задавался вопросами уязвимости клиентсерверной архитектуры ПДС? и есть ли вообще штат тестеров у ucs? нашел одну уязвимость, готовлю материал и паралельно веду переписку с ucs..

VampireKB
20.04.2012, 22:18
кто нибудь задавался вопросами уязвимости клиентсерверной архитектуры ПДС? и есть ли вообще штат тестеров у ucs? нашел одну уязвимость, готовлю материал и паралельно веду переписку с ucs..
а какая именно уязвимость ? возможность запуска приложений через прогу или доступ к БД ?

vince
22.04.2012, 03:44
имея знакомого кассира, можно снимать деньги с карт на кассе, при этом не внося деньги в кассу, а X отчет снятый в любое время для проверки, будет показывать сумму которая физически лежит в денежном ящике.. при этом карты будут уходить в минус, без какого либо кредитного лимита на них в Pcards.exe -> параметры карты..

SH
22.04.2012, 04:20
можно снимать деньги с карт на кассе,
Т.е.? Что значит "снимать"? Оплатить?


есть ли вообще штат тестеров у ucs?
Зачем, когда есть огромное поле бета-тестеров, которые еще и денег платят :)

VampireKB
22.04.2012, 04:48
имея знакомого кассира, можно снимать деньги с карт на кассе, при этом не внося деньги в кассу, а X отчет снятый в любое время для проверки, будет показывать сумму которая физически лежит в денежном ящике.. при этом карты будут уходить в минус, без какого либо кредитного лимита на них в Pcards.exe -> параметры карты..

Это если стоит "без Ограничений" Если ты имеешь ввиду дебетовые карты )
Если я верно помню,то была какая-то команда,чтобы оплата карт производилась с картой менеджера...
да и в ... ну да ладно :)

Admin
22.04.2012, 13:21
имея знакомого кассира
Гыгыгы... А имея знакомого киперщика ваще можно такие чудеса "снимать" :rock:

VampireKB
22.04.2012, 15:37
Гыгыгы... А имея знакомого киперщика ваще можно такие чудеса "снимать" :rock:
Смотря какого уровня киперщик )

vince
22.04.2012, 15:40
в РЦ где Я работаю, клиенты могут забирать с собой карты, либо на выходе просто снять.. так вот кассир с сообщником могут не внося деньги в кассу, оперируя суммами и картами только в программе, вбивать карты в минус, при этом снимать реальные деньги.. без особого палева..


Гыгыгы... А имея знакомого киперщика ваще можно такие чудеса "снимать"
киперщик может мутится и сам, не используя никаких ошибок программы.. а я говорю о том что недоработки ПО могут юзать кассиры, при чем если окуратно выхлоп составит до 100 тысяч в месяц :) как только ucs, начнет отвечать на письма, обрисую всю картину подробно :)

VampireKB
22.04.2012, 16:28
в РЦ где Я работаю, клиенты могут забирать с собой карты, либо на выходе просто снять.. так вот кассир с сообщником могут не внося деньги в кассу, оперируя суммами и картами только в программе, вбивать карты в минус, при этом снимать реальные деньги.. без особого палева..


киперщик может мутится и сам, не используя никаких ошибок программы.. а я говорю о том что недоработки ПО могут юзать кассиры, при чем если окуратно выхлоп составит до 100 тысяч в месяц :) как только ucs, начнет отвечать на письма, обрисую всю картину подробно :)

укс не начнет )) дело старое,привычное ))
З.Ы. ЛС читаешь ? :)

vince
22.04.2012, 16:32
лс читаю :) почему ucs не начнет общаться на эту тему? что заничит дело старое привычное?

VampireKB
22.04.2012, 16:38
лс читаю :) почему ucs не начнет общаться на эту тему? что заничит дело старое привычное?
им всё пофиг(с)

vince
22.04.2012, 16:41
им всё пофиг(с)
значит за публинацию каких либо материалов анализа работы их ПО, мне никаких притензий не будет?

VampireKB
22.04.2012, 16:47
значит за публинацию каких либо материалов анализа работы их ПО, мне никаких притензий не будет?
Если только у них прям на форуме тех.поддержки )

Admin
22.04.2012, 18:09
значит за публинацию каких либо материалов анализа работы их ПО, мне никаких притензий не будет?
на этом форуме такое уже написано о софте,глюках, проблемах и лично о руководителе юцц ГЛГ, но ко мне никаких претензий :))))

PS, а вообще, юцц никогда особо не предпринимала попыток как-то кому-то мешать, максимум что я видел, это объявы в самом юцц, что господина музыченко(и еще там когото, но уже не помню, а фамилия не на слуху) не консультировать. Но это 2004 год был :))))

vince
23.04.2012, 15:26
http://xorout.ru/archives/category/it-security - вот собсна полный образный(без указания фирмы и названий ПО) обзор..

VampireKB
23.04.2012, 15:32
http://xorout.ru/archives/category/it-security - вот собсна полный образный(без указания фирмы и названий ПО) обзор..
John >>>Belov<<<
:D Совпадение ? ;)

Кстати..Транзакция в Кипере не может быть отменена ))
Т.е. там только два выхода ) ДА и НЕТ,причем при ДА скидка+ дебет остаются ,при НЕТ скидка пропадает,Дебет остается :) (При нажатии кнопки "оплата" также идет сверка с сервером и если сервер не доступен,то идет "НЕТ")

vince
23.04.2012, 15:36
John >>>Belov<<<
:D Совпадение ? ;)

почему совпадение? с кем?
мэн, я говорю про пдс а не про кипер который в баре стоит..

VampireKB
23.04.2012, 15:51
мэн, я говорю про пдс а не про кипер который в баре стоит..
я говорил про списание средств в баре через дебетовую карту что кипер делает основную проверку на кнопке "Оплата",а после "ВВОДА" он делаешь лишь проверку на связь с ПДСкой

vince
23.04.2012, 15:55
ок :) с кем совпадение то мэн, а то заинтриговал, и не ответил? :)

VampireKB
23.04.2012, 16:18
ок :) с кем совпадение то мэн, а то заинтриговал, и не ответил? :)
у чела имя компа Beloff :)

vince
23.04.2012, 16:20
у чела имя компа Beloff :)
к стати ПДС которой мы пользуемся к ucs отношения не имеет :)

VampireKB
23.04.2012, 16:25
к стати ПДС которой мы пользуемся к ucs отношения не имеет :)
смотри ЛС

VampireKB
24.04.2012, 00:13
к стати ПДС которой мы пользуемся к ucs отношения не имеет :)
А тогда хоть что это за система и кто её производитель ? (пруфлинки можно в ЛС)
Страна должна знать своих героев !

vince
27.04.2012, 18:45
в блоге написал скрипт на питоне для выявления карт с отрицательным балансом, с подсчетом общей суммы и выводом всего в файл..