Комментарии 23
ошибка до сих пор, через два (!) месяца после первого сообщения, Платинум Банком не исправлена.
Я бы такое публиковать не рискнул :) Если такая, скажем, "детская" ошибка всплыла, и фиксить ее не спешат, сколько всего более серьезного в системе Платинум банка можно найти, копнув чуть глубже. Впрочем, сами виноваты.
Кто-то пытался пополнить телефон на 2000 грн О_о Один вопрос — зачем?
> простым перебором числового параметра XXXX в любой из ссылок выше можно получить информацию об операциях других клиентов
Ну блин. Я думал, щас будет использование изощрённой комбинации полу-уязвимостей, которые вкупе дают вполне себе уязвимость. Что-нибудь с куками, сессиями, немного XSS, анализ JSON, расшифровки формирования ID документа и получения заветных данных. А тут просто инкрементальный перебор :). Куда теперь девать попкорн?
Ну блин. Я думал, щас будет использование изощрённой комбинации полу-уязвимостей, которые вкупе дают вполне себе уязвимость. Что-нибудь с куками, сессиями, немного XSS, анализ JSON, расшифровки формирования ID документа и получения заветных данных. А тут просто инкрементальный перебор :). Куда теперь девать попкорн?
Гусары! Молчать! Ни слова! :)
Да, всё действительно довольно просто, как я и писал в начале поста) Но другие компании, где я находил такую ошибку, исправляли её максимум за неделю, а эти даже не шевелятся.
Знаете, не скажу за все коммерческие организации, но большинство к вещам типа утечки личной инфы относятся излишне спокойно. Вот если уязвимость с возможностью кражи денег — тогда ой. А подсмотреть адрес, почту, номер мобильного — никто по этому поводу особо не парится.
Из личного опыта — нашел на mail.ru баг с возможностью в некоторых случаях видеть email для сброса пароля. Даже писать им не стал. В песочницу на ГТ пост разместил — может там прочитают :)
Из личного опыта — нашел на mail.ru баг с возможностью в некоторых случаях видеть email для сброса пароля. Даже писать им не стал. В песочницу на ГТ пост разместил — может там прочитают :)
А не хотели в их Bug Bounty принять участие? https://hackerone.com/mailru
Наверное, поздно уже. Но попробую, спасибо
Можно ссылку на этот пост? :)
в очередной раз убеждаюсь, что все современные банковские системы — решето. к сожалению.
По клику, например, на https ://pay.ptclick.com.ua/ru/biller/receipt/ 1199011, открывается 404 страница. Пофиксили?..
Я еще год назад о уязвимостях отписывал и о багах в аппе, реакция 0. После этого мне проще было закрыть счета и обслуживаться в другом банке. Еще было куча баг в работе с платежными сервисами — деньги со счета уходили и не доходили до адресата, а возврат в течении месяца.
Позже, укоротив ссылки через bit.ly (позволяет видеть, сколько человек кликнут по ним), я указал, где именно проблема. На сегодняшний день по каждой из ссылок было около 6-7 переходов.
По каждой из укороченной, как я понял. Не думаю, что это были переходы специалистов по безопаности — было бы странно, если бы безопасники кликали по укороченным ссылкам, полученным от незнакомца. Они, скорее всего, «разрезолвили» эти линки, и перешли напрямую.
Хотя, принимая во внимание саму статью, никогда не знаешь, чего от них ждать
было бы странно, если бы безопасники кликали по укороченным ссылкам, полученным от незнакомца
Вы изобрели прекрасный способ тестирования профпригодности безопасников! Посылаешь им укороченную ссылку со счетчиком. И на странице, куда она ведет — тоже счетчик. А потом сравниваешь показания и смотришь — кто кликнул на коротком адресе, не думая о последствиях :)
Cаму идею я увидел, кажется, тут: https://habrahabr.ru/post/305706/
А вообще многие сокращатели ссылок имеют такую интересную особенность, что даже без нажатия на полученную ссылку можно понять, куда она ведёт — например, в конце ссылки на bit.ly нужно добавить "+", чтобы она приняла вид https://bitly.com/google+ — и откроется статистика переходов. Попробуйте)
Не знаю, знают ли об этом безопасники:)
А вообще многие сокращатели ссылок имеют такую интересную особенность, что даже без нажатия на полученную ссылку можно понять, куда она ведёт — например, в конце ссылки на bit.ly нужно добавить "+", чтобы она приняла вид https://bitly.com/google+ — и откроется статистика переходов. Попробуйте)
Не знаю, знают ли об этом безопасники:)
А я такие ссылки спокойно в анонимной вкладке открываю
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость в платёжном сервисе Платинум Банка (Украина)