Уразливості на www.oplata.info
19:36 08.06.200925.03.2009
У березні, 11.03.2008, я знайшов Cross-Site Scripting, Insufficient Authorization, Information Leakage та Insufficient Anti-automation уразливості на http://www.oplata.info - популярному сервісі оплати покупок через Інтернет. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше.
08.06.2009
Дані уразливості я знайшов після покупки на сайті www.popolni.com.ua, про уразливості на якому я також писав.
XSS:
Першу уразливість виправили, а ось другу виправили погано, тому при невеликій зміні коду, вона знову працює.
XSS:
- alert(document.cookie) (Mozilla)
- цікавий (Mozilla)
XSS:
POST запит на сторінці http://www.oplata.info/asp/pay_inv.asp?id_d=152039
"><script>alert(document.cookie)</script>
В полях: wmid, email.
POST запит на сторінці http://www.oplata.info/delivery/delivery_msg.asp
><script>alert(document.cookie)</script>
В полях: wm-идентификатор, номер счёта.
Insufficient Authorization та Information Leakage:
http://www.oplata.info/delivery/inf_purse.asp?id_i=1691594&wm_id=xxxxxxxxxxxx&rnd=95301
На даній сторінці виконується підтвердження про оплату, а також у випадку, коли оплата вже проведена, виводиться дані про оплачений товар (наприклад, PIN код карточки поповнення мобільного зв’язку). І немає жодного захисту від Insufficient Authorization, окрім id_i, wm_id та rnd (wm_id не обов’язковий).
А дана інформація може бути вгадана, або вияснена (через витік інформації). Зловмисник може сам розпочати транзакцію по купівлі карточки, а потім вислати лінку жертві (при цьому жертві прийде квитанція на оплату товару). Після того як жертва оплатить товар (PIN код), але ще не встигне активувати PIN код, зловмисник може, знаючи дану лінку, зайти на сайт, дізнатися PIN код та активувати його першим (тим самим безкоштовно поповнивши свій рахунок).
Достатньо зайти лише по цій лінці (тобто потрібно знати лише поля id_i та rnd):
http://www.oplata.info/delivery/inf_purse.asp?id_i=1691594&rnd=95301
Або зайти лише по цій лінці (тобто потрібно знати лише поле id_i та мати кукіс з сесією):
http://www.oplata.info/delivery/inf_purse.asp?oper=checkpay&id_i=1691594
Insufficient Anti-automation:
На сторінці замовлення товару (http://www.oplata.info/asp/ pay_inv.asp?id_d=152039) немає захисту від автоматизованих запитів (капчі). Тому можлива автоматизована розсилка запитів на wmid жертв на купівлю товарів в магазині. А також розсилка повідомлень (спаму) на емайли про купівлю товарів в магазині.
Більшість з уразливостей так досі й не виправлені.