E-handelsplattformen osCommerce är baserad på öppen källkod och har idag mer än 14 000 användare. Men kanske kan en ny upptäckt få dem att se över sitt val. Forskare vid University of California, har nämligen hittat en liten brist när det kommer till betalningar på plattformen.
– Majoriteten av betalningsmodulerna i osCommerce är sårbara för logiska attacker som gör att du kan betala mindre, eller till och med ingenting alls, säger Fangqi Sun, en doktorand på UC Davis Institutionen för datavetenskap.
Dollar istället för pund
Fangqi Sun laddade tillsammans med andra doktorander ner osCommerces programvara och utvecklade sedan ett automatiserat verktyg för att söka igenom plattformen efter sårbarheter i dess betalningslogik
De kom då fram till att man med några enkla ändringar i HTTP-förfrågningar kunde betala för en vara med dollar istället för med brittiska pund. Något som gav en rejäl rabatt med tanke på växelkursen. Det var också möjligt att lura e-handlaren till att tro att en vara var betald, trots att så inte var fallet.
– Online-transaktioner är beroende av en betrodd tredje part, eller "kassa", som överbryggar gapet mellan återförsäljare och deras kunder. Men användningen av en tredje part för betalning komplicerar betalningslogiken och introducerar en ny sårbarhet som kan leda till betydande ekonomiska förluster för e-handlare, säger Fangqi Su.
Fått pengarna tillbaka
Verktyget de tagit fram för att hitta olika sårbarheter i plattformen har utvecklats för det programmeringsspråk som används för osCommerce. Men man säger att de allmänna principerna i attackerna bör kunna tillämpas även på andra e-handelsplattformar, oavsett om de är slutna eller bygger på öppen källkod.
Forskarna har försökt underrätta osCommerce om de sårbarheter man hittat för att hjälpa utvecklarna att patcha programvaran. De har också betalat tillbaka pengar till de e-handlarna som ovetandes sålt varor till lägre pris, eller till och med gratis.
Källa: Phys.org
