Websecurity - Веб безпека

12.12.2012

У листопаді, 05.11.2012, я знайшов Insufficient Anti-automation, Brute Force і Abuse of Functionality уразливості на http://www.payu.ua - сайті системи онлайн платежів PayU. Про що найближчим часом сповіщу адміністрацію сайта.

Як і всі ті сайти платіжних систем власники яких заявляли про відповідність PCI DSS і на яких я знаходив дірки, на сайті www.payu.ua заявлена відповідність PCI DSS. Але їм ще потрібно виправляти чимало уразливостей, щоб цього досягти.

Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua та plimus.com.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2013

Insufficient Anti-automation:

http://www.payu.ua/zayavka-na-podklyuchenie

Не було захисту від автоматизованих атак. Зараз поставили капчу.

Brute Force:

https://secure.payu.ua/cpanel/

Окрім BF тут ще і CSRF. Капча обходиться видаленням кукіса.

Abuse of Functionality / Insufficient Anti-automation:

https://secure.payu.ua/cpanel/recover_password.php

Витік логінів/емайлів. Капча обходиться видаленням кукіса.

Виправили лише одну IAA уразливість. Всі інші уразливості досі не виправлені.

This entry was posted on 17:26 18.04.2013 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.