![][1] Я уже писал об [уязвимости в мобильном приложении Альфа-Банка][2], которая позволяла получать выписки по любому клиенту банка. В этот раз я решил проверить мобильное приложение сервиса по приёму платежей [Ubank][3]. Для анализа запросов, посылаемых на сервер, я опять использовал программу [Fiddler][4]. Как её настраивать, я повторно описывать не буду, кому интересно, могут прочитать об этом в [вышеуказанной статье][5]. Единственное, что я сделал по другому, это воспроизводил запросы не через плагин Postman в Google Chrome, а используя встроенный в Fiddler инструмент Composer. Исследуя запросы, отправляемые приложением на сервер, я обнаружил, что при загрузке истории переписки с саппортом не выполняется проверка на привязку идентификатора сообщения к сессии пользователя, а соответственно, перебирая id сообщений, мы можем получить переписку других пользователей с поддержкой. Итак, используя Fiddler, я записал запрос получения содержимого сообщения из переписки с саппортом: [Читать дальше →][6]

[1]: https://habrastorage.org/files/512/9ee/5c0/5129ee5c03d3415099084e93cfe47d61.png
[2]: http://habrahabr.ru/post/243105/
[3]: https://www.ubank.ru/
[4]: http://www.telerik.com/fiddler
[5]: http://habrahabr.ru/post/243105/
[6]: http://habrahabr.ru/post/252877/#habracut