Pull to refresh

Эксплуатируем XSS уязвимость на сайте ipay.ua для кражи карточных данных

Information Security *Payment systems *
Продолжая пентестинг отечественных платежных систем, я остановился на довольно популярном в Украине платежном сервисе ipay.ua.

Меня интересовало, на сколько PCI DSS сертификация платежными системами и проводимое ими ежеквартальное ASV-сканирование (в том числе на наличие XSS уязвимостей) гарантирует защиту данных клиентов.

Моё внимание привлекла форма p2p переводов по адресу www.ipay.ua/ru/p2p. Проверяя форму на фильтрацию вводимых данных, я добрался до поля для комментария (оно по умолчанию скрыто, что бы оно появилось, нужно поставить курсор в поле «Телефон получателя»). Как обычно, для первичной проверки, начал вводить текст:
<script>alert('XSS!')
… И только я закрыл скобку, как увидел на экране модальное окно с сообщением.

Читать дальше →
Total votes 98: ↑91 and ↓7 +84
Views 50K
Comments 61