How to become an author
My feedAll streams
Search
Write a publication
Pull to refresh

Comments 19

UFO landed and left these words here
Вы правы, можно сформировать урл таким образом, что при нажатии на кнопку отправки перевода, данные карты отправлялись на сторонний сайт. Но если это по какой-то причине не удастся сделать злоумышленнику, украсть cvv2 ему будет проще
Rating is hidden
Если XSS еще можно понять и простить — банк же, ожидаемо что там сидят студенты не слыхавшие ни о HttpOnly ни о Secure флагах для куки.
Но хранить CVV совсем уж фейл и выход из профессии.
Rating is hidden
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
Несколько лет назад эквайринг мастер-банка после оплаты пользователем присылал магазину первые 4 цифры номера карточки, последние 4 цифры номера карточки и… md5 от номера карточки. Даже без соли.
Пришлось удостовериться, что ответы не попадают случайно ни в какие логи на сервере.
Rating is hidden
То что поле cvv заполняется — не значит, что значение хранится на сервере. Можно использовать localStorage, например.
Rating is hidden
К сожалению не могу сейчас проверить, сервер возвращает 500-ю
Rating is hidden
>localStorage
>украинский банк

Нет, там в сессии, которая на сервере.
Rating is hidden
CVV там судя по всему хранится в сессии, заполнил данные, ввел CVV 123, отправил. В другом окне открыл ссылку — CVV заполненый остался, при чем не из localStorage, а прямо HTML прописан. Открыл ссылку в приватной вкладке (или в другом браузере) CVV уже не заполнен.
Rating is hidden
UFO landed and left these words here
Хакер заблокирован, клиенты в безопасности. Все ок!
Rating is hidden
UFO landed and left these words here
А вдруг еще что-то найдете?
Rating is hidden
Проверил конфигурацию HTTPS. ВНЕЗАПНО, рейтинг А!

www.ssllabs.com/ssltest/analyze.html?d=pay.fidobank.ua

sslcheck.globalsign.com/ru/sslcheck?host=pay.fidobank.ua#91.208.52.155-srv-reg-cert-ssl-misc

Даже HSTS и SPDY в наличии. Во дают!

Список несущественных проблем:
— Сертификат SHA1
— Не включено OCSP-сшивание (механизм получения состояния сертификата от самого сайта, а не CA)
— Сервер отдаёт предпочтение шифрам на основе длины AES, а не его режима. В результате браузеры, которые не поддерживают 256-битный AEAD GCM (а это все, кроме Android 4.4 и Internet Explorer на Windows 8 / 10), используют 256-битный CBC + MAC, что признано «устаревшей технологией». Сервер должен в первую очередь отдавать предпочтение всем шифрам AEAD GCM.
habrastorage.org/files/65a/b83/603/65ab8360302b4738be7a74db84d8e5cf.png
Rating is hidden
Этой частью скорее всего занимался уже кто-то более квалифицированный.
Rating is hidden
Странно, что в комментах не упомянули Мицгола.
Rating is hidden
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2025, Habr