Yahoo Stores ermöglichten Preismanipulation durch Kunden
Durch das HinzufĂĽgen von negativen Werten konnten Kunden die Preise von Waren manipulieren.
Wie erst jetzt bekannt wurde, hat Yahoo am 8. September eine Sicherheitslücke im Yahoo Store geschlossen, mit der Kunden die Preise von Waren beim Hinzufügen zum Warenkorb manipulieren konnten. Möglich war dies durch die in den Shops zusätzlich wählbaren Optionen, beispielsweise die Art des Versands, Übergrößen oder besondere Ausstattung.
Da die Optionen im HTML-Dokument definiert waren, ließ sich durch die Modifikation bestehender Optionen oder durch Hinzufügen eigener Optionen der Preis einer Ware verringern, wenn ein negativer Wert angegeben wurde. Sofern der Anbieter eine Bestellung nicht nachträglich auf ihre Richtigkeit prüfte, ging die Ware zum falschen Preis an den Kunden.
Nach Angaben von Yahoo war dies auch möglich, wenn der jeweilige Shop eigentlich keine Auswahl von Optionen anbot. Um ungewollte Manipulationen zu verhindern, können Betreiber in ihren Yahoo Stores zukünftig die ungewollte Übertragung von Optionen deaktivieren. Yahoo hat alle betroffenen Betreiber informiert.
Derartige Daten im einem HTML-Dokument zu hinterlegen, das auf dem Client manipuliert werden kann, ist prinzipiell eine schlechte Idee -- leider ist das Vorgehen aber immer noch häufig anzutreffen. Grundsätzlich sollte nur ein Server solche Werte vorhalten. Es genügt in der Regel, wenn der Kunde die Menge der Ware angibt und welche Optionen er zusätzlich wählt. Die Verknüpfung mit den dazugehörigen Preisen sollte dann durch die Applikation auf dem Server erfolgen.
Siehe dazu auch: (dab)
- Security Advisory von Yahoo
