Websecurity - Веб безпека

У листопаді, 13.11.2009, я знайшов Insufficient Anti-automation уразливості на http://www.paypal.com - cайті відомої електронної платіжної системи PayPal. Хоча PayPal і заявляє про те, що слідкує за безпекою власних сайтів, але на необхідність захисту від Insufficient Anti-automation вони зовсів не звернули уваги.

Стосовно сайтів електронних платіжних систем останній раз я писав про уразливість на webmoney.ru.

Insufficient Anti-automation:

https://www.paypal.com/cgi-bin/webscr?cmd=_registration-run
https://www.paypal.com/ewf/f=pps_spf

Форми реєстрації та контакту не мають захисту від автоматизованих запитів (капчі). І хоча при реєстрації для деяких країн PayPal може вимагати SMS-валідацію (що може стати захистом від автоматизованих атак, але лише для деяких країн), то у випадку контактної форми жодних обмежень немає.

This entry was posted on 23:54 17.06.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.