Продолжая пинтестинг отечественных платежных систем, я остановился на довольно популярном в Украине платежном сервисе ipay.ua. Меня интересовало, на сколько PCI DSS сертификация платежными системами и проводимое ими ежеквартальное [ASV-сканирование][1] (в том числе на наличие XSS уязвимостей) гарантирует защиту данных клиентов. Моё внимание привлекла форма p2p переводов по адресу [www.ipay.ua/ru/p2p][2]. Проверяя форму на фильтрацию вводимых данных, я добрался до поля для комментария и, как обычно, для первичной проверки начал вводить текст

<script>alert('XSS!')


… И только я закрыл скобку, как увидел на экране модальное окно с сообщением. ![][3] [Читать дальше →][4]

[1]: https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php
[2]: https://www.ipay.ua/ru/p2p
[3]: https://habrastorage.org/files/f00/aa5/ae5/f00aa5ae502a436b90d5b43ad52e790e.jpg
[4]: http://habrahabr.ru/post/259419/#habracut