Как я племянника с Днем рождения поздравлял

В очередной раз пользуясь интернет-банкингом украинского Альфа-банка, мое внимание привлекла форма отправки квитанции на имейл:

Интересное в ней было то, что заголовок письма и текст сообщения можно было редактировать. Исследовав отправляемый на сервер запрос, я добился того, что можно было саму квитанцию не отправлять, а только тему письма и текст сообщения.



Полученный запрос приобрел следующий вид:

https://my.alfabank.com.ua/report/email?id=&type=order&recipientEmail=your.email@gmail.com&subject=Привет!!!&body=Тут текст сообщения и ссылка http://fakesite.com&next=

Таким образом получилось, что я могу отправить абсолютно любого содержания письмо от имени Альфа-Банка с адреса ccd@alfabank.kiev.ua на любой имейл. Я сразу же уведомил о найденной уязвимости службу безопасности банка, но, к сожалению, спустя 2 месяца, они так и не предприняли меры по её устранению. Единственно, что успокаивает, так это то, что с недавних пор в интернет-банкинге введена обязательная двухфакторная авторизация через смс или имейл и таким образом использовать эту уязвимость на взломанных аккаунтах стало на порядок сложнее.

Ну и напоследок, пользуясь случаем, я поздравил племянника с прошедшим Днем рождения.

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://fivefilters.org/content-only/faq.php#publishers.