К сожалению, не все банки это понимают.
Однажды пришлось мне воспользоваться услугой мгновенного перевода с карты на карту, для этой цели я решил воспользоваться сервисом одного из украинских банков, а именно «Фидобанка».
После осуществления платежа меня переадресовало на страницу вида http://ift.tt/1DdqEd4
Я решил проверить, фильтруется ли значение параметра SenderTransID, которое выводилось на странице.
Естественно, как оказалось, оно не фильтровалось и давало возможность эксплуатации XSS уязвимости. Я составил url, при переходе на который все куки отправлялись на фейковый псевдозловредный сайт someveryverydangeroussite.com. URL выглядел следующим образом:
http://ift.tt/1CYNQLs
Переход по этой ссылке показывал следующее сообщение:
Все бы ничего, если бы разработчики ещё больше на облегчили работу по эксплуатации уязвимости, сохраняя cvv2 код в поле для его ввода даже после проведения платежа.
Упс:
Таким образом, злоумышленник, обратившись к жертве и узнав номер её карты, может получить cvv2 код её карты, если жертва недавно делала перевод. Останется только подобрать срок действия.
Кстати, если бы этот банк проходил PCI DSS сертификацию, он бы не получил сертификат, так как хранить cvv2 каким-либо образом на сервере строго запрещено платежными системами Visa и MasterCard.
Естественно, я написал письмо в службу безопасности, но, видимо, её сотрудники были так заняты получением грамоты за борьбу с киберприступностью, что в течении двух недель не нашли время ответить на моё письмо и исправить найденную уязвимость.
Recommended article: Chomsky: We Are All – Fill in the Blank.
This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий