Уразливості на www.allmoney.com.ua
17:03 12.04.201220.12.2011
У листопаді, 25.11.2011, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті https://www.allmoney.com.ua (іших дірок там також вистачає). Про що найближчим часом сповіщу адміністрацію сайта.
ALLmoney - це електронна платіжна система. При цьому з численними уразливостями на сайті. Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на easypay.ua.
Раніше на цьому домені знаходився дірявий сайт обмінника www.allmoney.com.ua, про одну зі знайдених мною уразливостей в якому я вже писав. В 2009 році вони продали домен і купили для свого обмінника новий домен. А нові власники allmoney.com.ua з часом запустили на ньому свою ЕПС, при цьому продовживши старі “діряві традиції”.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
12.04.2012
XSS:
IAA:
В даній формі немає захисту від автоматизованих запитів (капчі).
https://www.allmoney.com.ua/reg/recover.php
Дані уразливості досі не виправлені. Що дуже несерйозно для електронної платіжної системи.