Уразливості на www.allmoney.com.ua

17:03 12.04.2012

20.12.2011

У листопаді, 25.11.2011, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті https://www.allmoney.com.ua (іших дірок там також вистачає). Про що найближчим часом сповіщу адміністрацію сайта.

ALLmoney - це електронна платіжна система. При цьому з численними уразливостями на сайті. Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на easypay.ua.

Раніше на цьому домені знаходився дірявий сайт обмінника www.allmoney.com.ua, про одну зі знайдених мною уразливостей в якому я вже писав. В 2009 році вони продали домен і купили для свого обмінника новий домен. А нові власники allmoney.com.ua з часом запустили на ньому свою ЕПС, при цьому продовживши старі “діряві традиції”.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.04.2012

XSS:

IAA:

В даній формі немає захисту від автоматизованих запитів (капчі).

https://www.allmoney.com.ua/reg/recover.php

Дані уразливості досі не виправлені. Що дуже несерйозно для електронної платіжної системи.


Leave a Reply

You must be logged in to post a comment.