Websecurity - Веб безпека

18.06.2013

Сьогодні я знайшов Cross-Site Scripting уразливості на сайті http://www.ipay.ua. Про що найближчим часом сповіщу адміністрацію сайта.

iPay.ua - це електронна платіжна система, причому з PCI DSS сертифікатом, але дірява.

Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua. Дірки на сайтах ЕПС з PCI DSS сертифікатами мені доводилося знаходити не раз, зокрема на easypay.ua та www.payu.ua. А також в 2011 і 2012 роках я проводив аудити безпеки двох ЕПС (які були PCI DSS сертифіковані), в яких я виявив чимало уразливостей. Всі ці випадки демонструють якість PCI DSS аудитів, проведених на цих сайтах.

Детальна інформація про уразливості з’явиться пізніше.

30.01.2014

XSS:

• alert(document.cookie)
• цікавий

В старих браузерах, де можна використовувати одинарні лапки:

https://www.ipay.ua/ru/bills/popolnit-schet-life-cherez-internet/?a=';alert(document.cookie)//

Друга дірка виправлена, але перша дірка досі не виправлена. Також в цій EPS є багато інших уразливостей.

This entry was posted on 23:52 30.01.2014 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.