Чи так легко підібрати cvc
Всім привіт! Вчора я дебожав деякий код, який виконується при введенні невірних банківських даних при оплаті товару.
У процесі дебагу я разів 150 вводив неправильні дані, з яких разів 30 - неправильний CVV. При цьому з моєю карткою (одного з найбільших українських банків) нічого не сталося, її не заблокували.
Тому постало питання: Невже банки не блокують карти при брутфорсі CVV? Навіщо тоді PSI DSS забороняє його зберігати, якщо так просто зламати?
Невже банки не блокують карти при брутфорсі CVV? Те, що Ви там щось намагалися, будучи розробником - це все тому, що Ви розробник, і та частина системи, що Ви допилювали, поставлена в режим налагодження, а значить швидше за все тільки для вас, ваших/спеціальних даних відключені заборони і обмеження. Все завжди продумано заздалегідь, особливо у таких речах.
Упевнений, у простої людини за всього бажання не вийде її брутфорсити. Таймаути, IP бан, обмеження спроб введення. CVC/CVV не брутфорсят - його тупо крадуть використовуючи наївність і дурість користувача, фішинг, ін'єкції та інші механізми.
Дмитро: помиляєтеся) в Україні тільки шахрай повертає кошти потерпілим, в USA повертає банк. Навіть більше скажу в Україні іноді навіть змушують заяву накатати потерпілого, хоча він може взагалі не обізнаний і жити спокійно не помітивши зниклої суми. Ну "дуже" логічні пояснювальні у таких випадках пишуть. але мені подзвонив співробітник бстм, повідомив, я перевірив кошти, це все через місяць +. І закінчується завжди "збитки були для мене значними". Взагалі то більше залежить від самого клієнта, кому треба - то поверне, під метушиться.
За брутом, чому б і ні? багато bottle neck'ів у хорошому сенсі досі розкидане,на дурість головної коробки девелоперів, або на радість грамотним ресерчерам) Упевнений, у простої людини при всьому бажанні не вийде його брутфорсить. Таймаути, IP бан, обмеження спроб введення. CVC/CVV не брутфорсят - його тупо крадуть використовуючи наївність і дурість користувача, фішинг, ін'єкції та інші механізми.
Виходить я – робот, або марсіанин. Питання не "ЩО" (в даному випадку збрудити) потрібно ставити, а саме "ЯК".
на 3х річному досвіді у найулюбленішої і мені цілком, неконкурентної, сфері - як " bruteforce " , половину з рішень у десятки разів складніше були проти цим завданням . враховуючи що кількістьнетипових і абсолютнорізнихрішень перевалює за 2000.