[#] Уязвимости в сервисе компании Plategka.com, включающие XSS
habrabot(difrex,1) — All
2015-10-28 12:00:04


Интересуюсь платёжными сервисами, банками, пластиковыми картами, да и вообще слежу за электронной коммерцией. А ещё я люблю находить ошибки и уязвимости в системах интернет-банкингов, [платёжных терминалов][1] или в [системах онлайн-переводов][2]. Не так давно один украинский сервис онлайн-оплаты — **Plategka.com** — запустил функцию: создание ссылки с уникальным адресом и QR-кодом для получения перевода на карту. Как только я захотел проверить, как работает новый сервис, я увидел ту же ошибку, которую допустили Portmone: по ссылке указывается полный номер карты. Перебирая ссылки, можно собрать номера карт. "_Изначально мы думали над сокрытием номера карты, но в этом вопросе есть свои за и против, поэтому на первом этапе, дабы у Плательщика была возможность убедиться в верности уже введенных данных, решили его оставить_", — пишут они [пользователю][3]. ![image][4] [Читать дальше →][5]

[1]: http://habrahabr.ru/post/264089/
[2]: http://habrahabr.ru/post/267121/
[3]: http://ain.ua/2015/10/15/609714#comments
[4]: https://habrastorage.org/getpro/habr/post_images/d57/0eb/ee2/d570ebee22cb2918496045f107365f5f.png
[5]: http://habrahabr.ru/post/269663/#habracut