home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / webcart.cc.txt < prev    next >
Encoding:
Internet Message Format  |  1999-04-28  |  6.2 KB
  1. Date: Fri, 23 Apr 1999 23:14:31 +0200
  2. From: Bo Elkjaer <boo@DATASHOPPER.DK>
  3. To: BUGTRAQ@netspace.org
  4. Subject: Re: Shopping Carts exposing CC data
  5.  
  6. This is my first post to Bugtraq so please bear with me for any errs and/or
  7. misconducts.
  8.  
  9. I'd just like to point out, that Webcart is vulnerable too.
  10.  
  11. Here goes:
  12.  
  13.  
  14. Mountain Network Systems Inc. http://www.mountain-net.com
  15. Platform: ?
  16. Exposed Directories: /config, /orders (and others. They're all listed in
  17. config-file)
  18. Exposed Order Info: orders.txt
  19. Exposed Config Info: mountain.cfg
  20. Number of exposed installs: 18+ at a quick glance. Probably more.
  21. PGP Option Available?: Unknown
  22. Status: Commercial, ranging from $399 to $4650.
  23.  
  24.  
  25. Bo Elkjaer, Denmark
  26.  
  27. ---------------------------------------------------------------------------
  28.  
  29. Date: Fri, 23 Apr 1999 17:15:00 -0700
  30. From: Joe <joe@GONZO.BLARG.NET>
  31. To: BUGTRAQ@netspace.org
  32. Subject: Re: Shopping Carts exposing CC data
  33.  
  34. On Fri, 23 Apr 1999, Bo Elkjaer wrote:
  35.  
  36. > This is my first post to Bugtraq so please bear with me for any errs and/or
  37. > misconducts.
  38. >
  39. > I'd just like to point out, that Webcart is vulnerable too.
  40. >
  41. > Here goes:
  42. >
  43. >
  44. > Mountain Network Systems Inc. http://www.mountain-net.com
  45. > Platform: ?
  46. > Exposed Directories: /config, /orders (and others. They're all listed in
  47. > config-file)
  48. > Exposed Order Info: orders.txt
  49. > Exposed Config Info: mountain.cfg
  50. > Number of exposed installs: 18+ at a quick glance. Probably more.
  51. > PGP Option Available?: Unknown
  52. > Status: Commercial, ranging from $399 to $4650.
  53. >
  54. >
  55. > Bo Elkjaer, Denmark
  56. >
  57.  
  58. Confirmed it, sent a heads-up to mountain-net.  Worse, look for
  59. "import.txt" and "checks.txt"  Import.txt includes every order ever made
  60. on the site in a tab-delimited format.
  61.  
  62. *sigh*
  63.  
  64. --
  65. Joe H.                                  Technical Support
  66. General Support:  support@blarg.net     Blarg! Online Services, Inc.
  67. Voice:  425/401-9821 or 888/66-BLARG    http://www.blarg.net
  68.  
  69. ---------------------------------------------------------------------------
  70.  
  71. Date: Sat, 24 Apr 1999 03:37:32 +0200 (CEST)
  72. From: Anonymous <nobody@replay.com>
  73. To: cypherpunks@toad.com
  74. Subject: Hole in Web Security
  75.  
  76. E-commerce Boom Fueling Security Hole?
  77. http://www.thestandard.com/articles/display/0,1449,4307,00.html
  78.  
  79. Expert Finds Hole in Shopping Carts
  80. http://www.zdnet.com/zdnn/stories/news/0,4586,2246537,00.html
  81.  
  82. Expert Warns of Safety Glitch in Online-Shopping Software
  83. http://interactive.wsj.com/articles/SB924838677495215904.htm
  84.  
  85. Online Credit Card Theft Reported
  86. http://www.latimes.com/HOME/BUSINESS/t000036381.1.html
  87.  
  88. ---------------------------------------------------------------------------
  89.  
  90. Date: Fri, 23 Apr 1999 22:57:45 -0500
  91. From: hevnsnt <hevnsnt@BIGFOOT.COM>
  92. To: BUGTRAQ@netspace.org
  93. Subject: Re: Shopping Carts exposing CC data
  94.  
  95.  
  96. Sorry If already known, 1st post..
  97.  
  98. Even worse than this, check the Admin directory.. ugh.   Seems as though you
  99. can configure the system without any type of password or authentication.
  100. *sigh* x2
  101.  
  102. -hevn
  103.  
  104. ---------------------------------------------------------------------------
  105.  
  106. Date: Sat, 24 Apr 1999 14:54:40 -0500
  107. From: William Devine II <wdevine@BLUEGATE.COM>
  108. To: BUGTRAQ@netspace.org
  109. Subject: Re: FW: Shopping Carts exposing CC data (fwd from Mountain-Net
  110.  
  111. Mountain Network Systems (www.mountain-net.com) makers of the
  112. WebCart system is a customer of ours.  I received email from him after
  113. forwarding a copy of the messages on the bugtraq re: webcart.
  114. This is a reply I received from him.
  115.  
  116. william
  117.  
  118. Forwarded message:
  119. > From support@mountain-net.com  Sat Apr 24 07:12:51 1999
  120. > Date: Sat, 24 Apr 1999 07:11:41 -0500
  121. > To: "William Devine, II" <william@crescentcon.com>
  122. > X-UIDL: 924983340.009
  123. > From: support@mountain-net.com
  124. > Subject: Re: FW: Shopping Carts exposing CC data
  125. >
  126. > Hi William,
  127. >
  128. > Can you tell me where the signup is or just post this message.
  129. >
  130. > Good Day,
  131. >
  132. > We noticed your comment regarding one of our systems. Please be informed
  133. > that we clearly state in the manuals how to secure your website when using
  134. > the WebCart(r) system. If the website owner elects not to take these steps
  135. > information will be exposed. This is not a reflection of the software but
  136. > the level of protection the website/store owner wants to give their clients.
  137. >
  138. > In terms of professional conduct, if you find issues such as these you
  139. > should contact the store owner and inform them of this. Not post their
  140. > website to everyone in a mailist. You should also make sure you have all
  141. > related information prior to making such a bold statement. You have clearly
  142. > not read or had access to the manuals which describe in detail the steps to
  143. > take to
  144. > avoid this issue.
  145. >
  146. > Best Regards,
  147. > Dan
  148. >
  149. > At 17:07 4/23/99 -0500, you wrote:
  150. > >
  151. > >
  152. > >-----Original Message-----
  153. > >From: Bugtraq List [mailto:BUGTRAQ@netspace.org] On Behalf Of Bo Elkjaer
  154. > >Sent: Friday, April 23, 1999 4:15 PM
  155. > >To: BUGTRAQ@netspace.org
  156. > >Subject: Re: Shopping Carts exposing CC data
  157. > >
  158. > >
  159. > >This is my first post to Bugtraq so please bear with me for any errs and/or
  160. > >misconducts.
  161. > >
  162. > >I'd just like to point out, that Webcart is vulnerable too.
  163. > >
  164. > >Here goes:
  165. > >
  166. > >
  167. > >Mountain Network Systems Inc. http://www.mountain-net.com
  168. > >Platform: ?
  169. > >Exposed Directories: /config, /orders (and others. They're all listed in
  170. > >config-file)
  171. > >Exposed Order Info: orders.txt
  172. > >Exposed Config Info: mountain.cfg
  173. > >Number of exposed installs: 18+ at a quick glance. Probably more.
  174. > >PGP Option Available?: Unknown
  175. > >Status: Commercial, ranging from $399 to $4650.
  176. > >
  177. > >
  178. > >Bo Elkjaer, Denmark
  179. > >
  180. > >
  181. > >
  182. >
  183. > ------------------------------------------------------
  184. > Mountain Network Systems, Inc.     (281) 373-1196
  185. > P.O. Box 1362                      Cypress, TX 77429          
  186. > "Your Internet Programming Source"
  187. >
  188. > http://www.mountain-net.com           
  189. > http://www.inet-domains.net
  190. > http://www.webstores.net
  191. >
  192. >              ------------------------------
  193. > Sales:       sales@mountain-net.com
  194. > Support:     support@mountain-net.com
  195. >              ------------------------------
  196. >
  197. > Specialist in Advanced Internet Systems . . . making your
  198. > website work for you all day everyday.
  199. >
  200. > Economist estimate a $200 billion online market by the
  201. > year 2000.  Now is the time to transform your website
  202. > into a profit center!
  203. > ------------------------------------------------------
  204. >
  205.  
  206.  
  207.