Я являюсь клиентом украинского оператора сотовой связи Киевстар и пользователем их веб-сервиса [my.kyivstar.ua][1]. Как и многие другие операторы, Киевстар предлагает веб-версию личного кабинета, в котором можно просмотреть баланс счёта, детализацию звонков, изменить тариф, заказать или отключить услугу и пр.
Так же у них недавно была запущена новая версия личного кабинета [new.kyivstar.ua][2]. В ней появилась интересная функция — добавление другого телефона Киевстар через смс верификацию. Я взялся её проверить на наличие уязвимостей, так как она фактически давала такой же доступ к добавляемому телефону, как и к своему, что меня не особо радовало, как клиента.
Новый сайт имеет следующий интерфейс добавления телефона:
![][3]
[Читать дальше →][4]

[1]: https://my.kyivstar.ua
[2]: https://new.kyivstar.ua
[3]: https://habrastorage.org/files/b32/aa7/012/b32aa701271b4198800fe270a7a33b8e.png
[4]: https://habrahabr.ru/post/305706/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut