Comments 23
ошибка до сих пор, через два (!) месяца после первого сообщения, Платинум Банком не исправлена.
Я бы такое публиковать не рискнул :) Если такая, скажем, "детская" ошибка всплыла, и фиксить ее не спешат, сколько всего более серьезного в системе Платинум банка можно найти, копнув чуть глубже. Впрочем, сами виноваты.
Кто-то пытался пополнить телефон на 2000 грн О_о Один вопрос — зачем?
0
> простым перебором числового параметра XXXX в любой из ссылок выше можно получить информацию об операциях других клиентов
Ну блин. Я думал, щас будет использование изощрённой комбинации полу-уязвимостей, которые вкупе дают вполне себе уязвимость. Что-нибудь с куками, сессиями, немного XSS, анализ JSON, расшифровки формирования ID документа и получения заветных данных. А тут просто инкрементальный перебор :). Куда теперь девать попкорн?
Ну блин. Я думал, щас будет использование изощрённой комбинации полу-уязвимостей, которые вкупе дают вполне себе уязвимость. Что-нибудь с куками, сессиями, немного XSS, анализ JSON, расшифровки формирования ID документа и получения заветных данных. А тут просто инкрементальный перебор :). Куда теперь девать попкорн?
+7
Гусары! Молчать! Ни слова! :)
0
Да, всё действительно довольно просто, как я и писал в начале поста) Но другие компании, где я находил такую ошибку, исправляли её максимум за неделю, а эти даже не шевелятся.
+1
Знаете, не скажу за все коммерческие организации, но большинство к вещам типа утечки личной инфы относятся излишне спокойно. Вот если уязвимость с возможностью кражи денег — тогда ой. А подсмотреть адрес, почту, номер мобильного — никто по этому поводу особо не парится.
Из личного опыта — нашел на mail.ru баг с возможностью в некоторых случаях видеть email для сброса пароля. Даже писать им не стал. В песочницу на ГТ пост разместил — может там прочитают :)
Из личного опыта — нашел на mail.ru баг с возможностью в некоторых случаях видеть email для сброса пароля. Даже писать им не стал. В песочницу на ГТ пост разместил — может там прочитают :)
0
А не хотели в их Bug Bounty принять участие? https://hackerone.com/mailru
0
Наверное, поздно уже. Но попробую, спасибо
0
Можно ссылку на этот пост? :)
0
в очередной раз убеждаюсь, что все современные банковские системы — решето. к сожалению.
+1
По клику, например, на https ://pay.ptclick.com.ua/ru/biller/receipt/ 1199011, открывается 404 страница. Пофиксили?..
0
Я еще год назад о уязвимостях отписывал и о багах в аппе, реакция 0. После этого мне проще было закрыть счета и обслуживаться в другом банке. Еще было куча баг в работе с платежными сервисами — деньги со счета уходили и не доходили до адресата, а возврат в течении месяца.
0
Позже, укоротив ссылки через bit.ly (позволяет видеть, сколько человек кликнут по ним), я указал, где именно проблема. На сегодняшний день по каждой из ссылок было около 6-7 переходов.
По каждой из укороченной, как я понял. Не думаю, что это были переходы специалистов по безопаности — было бы странно, если бы безопасники кликали по укороченным ссылкам, полученным от незнакомца. Они, скорее всего, «разрезолвили» эти линки, и перешли напрямую.
Хотя, принимая во внимание саму статью, никогда не знаешь, чего от них ждать
0
было бы странно, если бы безопасники кликали по укороченным ссылкам, полученным от незнакомца
Вы изобрели прекрасный способ тестирования профпригодности безопасников! Посылаешь им укороченную ссылку со счетчиком. И на странице, куда она ведет — тоже счетчик. А потом сравниваешь показания и смотришь — кто кликнул на коротком адресе, не думая о последствиях :)
0
Cаму идею я увидел, кажется, тут: https://habrahabr.ru/post/305706/
А вообще многие сокращатели ссылок имеют такую интересную особенность, что даже без нажатия на полученную ссылку можно понять, куда она ведёт — например, в конце ссылки на bit.ly нужно добавить "+", чтобы она приняла вид https://bitly.com/google+ — и откроется статистика переходов. Попробуйте)
Не знаю, знают ли об этом безопасники:)
А вообще многие сокращатели ссылок имеют такую интересную особенность, что даже без нажатия на полученную ссылку можно понять, куда она ведёт — например, в конце ссылки на bit.ly нужно добавить "+", чтобы она приняла вид https://bitly.com/google+ — и откроется статистика переходов. Попробуйте)
Не знаю, знают ли об этом безопасники:)
0
А я такие ссылки спокойно в анонимной вкладке открываю
0
Sign up to leave a comment.
Уязвимость в платёжном сервисе Платинум Банка (Украина)