Уразливості на www.ipay.ua
23:52 30.01.201418.06.2013
Сьогодні я знайшов Cross-Site Scripting уразливості на сайті http://www.ipay.ua. Про що найближчим часом сповіщу адміністрацію сайта.
iPay.ua - це електронна платіжна система, причому з PCI DSS сертифікатом, але дірява.
Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua. Дірки на сайтах ЕПС з PCI DSS сертифікатами мені доводилося знаходити не раз, зокрема на easypay.ua та www.payu.ua. А також в 2011 і 2012 роках я проводив аудити безпеки двох ЕПС (які були PCI DSS сертифіковані), в яких я виявив чимало уразливостей. Всі ці випадки демонструють якість PCI DSS аудитів, проведених на цих сайтах.
Детальна інформація про уразливості з’явиться пізніше.
30.01.2014
XSS:
В старих браузерах, де можна використовувати одинарні лапки:
https://www.ipay.ua/ru/bills/popolnit-schet-life-cherez-internet/?a=';alert(document.cookie)//
Друга дірка виправлена, але перша дірка досі не виправлена. Також в цій EPS є багато інших уразливостей.