Pull to refresh

Информационая безопасность в сфере телекома на примере Megafon'а

Reading time1 min
Views4.2K
Я считаю что в сфере телекоммуникации, должно быть повышенно внимание безопасности, это же люди, деньги, информация…

Что побудило меня написать эту статью. Недавно я написал в megafon об уязвимости в интернет-магазине, уязвимость пофиксили, а банальное спасибо сказать не могут.

Все уязвимости демонстрируют методы получения информации и не должны быть использованы, для взлома.

Итак начнём по порядку:

1. shop.megafon.ru
Пасивная XSS — недостаточна фильтрация параметра si_price_from. точнее разработчик подумал зачем фильтровать, если там ползунок а скрытое поле не видно. Уже пофиксили.

2. http://vrn.megafon.ru/pdfd.action?url=/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
XSS — недостаточная фильтрация параметра URL.

3.https://oauth.megafon.ru/login?msisdn=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&p=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&login=LoginRU
XSS — не фильтруется ни логин, ни пароль.

Поверхностный взгляд и 3 XSS, найденных без особого труда. Так что же это, почему даже такие элементарные вещи, как мелкие XSS, просто игнорируются. Я ещё не проверял bank.megafon.ru, но думаю и там ситуация довольно плачевная, так что я бы не стал особо доверять мегафону свои деньги, информацию и личные данные — как минимум так как нет редиректа с http на https в магазине Мегафон.
Tags:
Hubs:
Total votes 25: ↑10 and ↓15-5
Comments13

Articles