Comments 14
Ща почитаем :)
Клёва, сделал похожую установку, нашел у себя кучу уязвимых приложений некоторые из которых хоть и отправляют с запросами куки/токены/пароли но в тоже время абсолютно не проверяют это все на стороне сервера и подмена парамеров возвращает чужие данные…
Из самого интересного:
— приложение для вызова такси (~10 служб в одном приложении) которое при подмене номера телефона на чужой в запросе вернет кучу информации о предыдущих/текущих закзах с подробной информацией о времени, адресах (+геотеги), перемещениях, ценах и много всего другого…
— приложение для заказа доставки суши на дом которое отправляет параметр «verified=0» виесте с адресом доставки, заменив параметр на «verified=1» — можно анонимно заказать суши на любой адрес без предварительного звонка/подверждения со стороны суши-ресторана.
Из самого интересного:
— приложение для вызова такси (~10 служб в одном приложении) которое при подмене номера телефона на чужой в запросе вернет кучу информации о предыдущих/текущих закзах с подробной информацией о времени, адресах (+геотеги), перемещениях, ценах и много всего другого…
— приложение для заказа доставки суши на дом которое отправляет параметр «verified=0» виесте с адресом доставки, заменив параметр на «verified=1» — можно анонимно заказать суши на любой адрес без предварительного звонка/подверждения со стороны суши-ресторана.
— приложение для заказа доставки суши на дом которое отправляет параметр «verified=0» виесте с адресом доставки, заменив параметр на «verified=1» — можно анонимно заказать суши на любой адрес без предварительного звонка/подверждения со стороны суши-ресторана.
Отлично! Никогда не любил эти звонки. Особенно неприятно, если сейчас не можешь говорить, а заказать хочется.
Данная проблема уже исправлена. Спасибо, за пост и внимание к нашему сервису.
Ну зачем-же нужно было доводить это до крайности, а не исправить сразу?
if об этом уже написали на хабре?
исправляем
else
да ну чот лень
end
исправляем
else
да ну чот лень
end
Проблема в том что обновить сервисы можно быстро, а вот мобильные клиенты быстро обновить не получится.
Так что «сразу» проблематично, и это касается любого сервиса имеющего клиент серверную архитектуру и завязанного на тыкалки.
Так что «сразу» проблематично, и это касается любого сервиса имеющего клиент серверную архитектуру и завязанного на тыкалки.
Ручки зачесались… сейчас проверим одно интересное приложение
В прошлом году и Альфа-Банк не использовал SSL Pinning, сейчас не знаю…
Собственно это и есть подтверждения отличия российского саппорта от иностранного: в России юзер это враг и головна боль, а в иностранной это клиент и feedback.
Доводить до крайности — глупее не придумать. Или это имидж большой компании и больших денег, когда наклиентов мелочи вниманию не обращают?
Доводить до крайности — глупее не придумать. Или это имидж большой компании и больших денег, когда на
Sign up to leave a comment.
Читаем переписку клиентов Ubank с саппортом