Я считаю, что в сфере телекоммуникаций должно быть повышенное внимание к безопасности, это люди, деньги, информация.
Что побудило меня написать эту статью.
Недавно писал в Мегафон об уязвимости в интернет-магазине, уязвимость исправили, но простого спасибо сказать не смогли.
Все уязвимости демонстрируют способы получения информации и не должны использоваться для взлома.
Итак, начнем по порядку:
1. магазин.megafon.ru
Пассивный XSS — фильтрация параметра si_price_from недостаточна.Точнее, разработчик подумал, зачем фильтровать, если есть ползунок и скрытое поле не видно.
Уже исправлено.
2. http://vrn.megafon.ru/pdfd.actionЭurl=/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E XSS – недостаточная фильтрация параметров URL-адреса.
3. https://oauth.megafon.ru/loginЭmsisdn=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&p=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&login=LoginRU XSS — ни логин, ни пароль не фильтруются.Поверхностный взгляд и 3 XSS нашел без особого труда.
Так в чем же дело, почему даже такие элементарные вещи, как небольшой XSS, просто игнорируются.
Банк.
мегафон.
ру я еще не проверял, но считаю, что ситуация там довольно плачевная, поэтому Мегафону я бы особо не доверял свои деньги, информацию и личные данные - по крайней мере, поскольку там нет перенаправления с http на https. в магазине Мегафон.
Теги: #xss #информационная безопасность
-
Bitbybit - Портал Для Программистов
19 Oct, 24 -
Обзор Air Display Для Ipad
19 Oct, 24 -
5 Самых Крутых Youtube-Каналов О Бизнесе
19 Oct, 24
