Информационная Безопасность В Сфере Связи На Примере Мегафона

Я считаю, что в сфере телекоммуникаций должно быть повышенное внимание к безопасности, это люди, деньги, информация.

Что побудило меня написать эту статью.

Недавно писал в Мегафон об уязвимости в интернет-магазине, уязвимость исправили, но простого спасибо сказать не смогли.

Все уязвимости демонстрируют способы получения информации и не должны использоваться для взлома.

Итак, начнем по порядку:

1. магазин.

megafon.ru



Пассивный XSS — фильтрация параметра si_price_from недостаточна.

Точнее, разработчик подумал, зачем фильтровать, если есть ползунок и скрытое поле не видно.

Уже исправлено.

2. http://vrn.megafon.ru/pdfd.actionЭurl=/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E XSS – недостаточная фильтрация параметров URL-адреса.

3. https://oauth.megafon.ru/loginЭmsisdn=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&p=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&login=LoginRU XSS — ни логин, ни пароль не фильтруются.

Поверхностный взгляд и 3 XSS нашел без особого труда.

Так в чем же дело, почему даже такие элементарные вещи, как небольшой XSS, просто игнорируются.

Банк.

мегафон.

ру я еще не проверял, но считаю, что ситуация там довольно плачевная, поэтому Мегафону я бы особо не доверял свои деньги, информацию и личные данные - по крайней мере, поскольку там нет перенаправления с http на https. в магазине Мегафон.

Теги: #xss #информационная безопасность

Вместе с данным постом часто просматривают:

Автор Статьи


Зарегистрирован: 2005-02-26 02:11:49
Баллов опыта: 607
Всего постов на сайте: 7
Всего комментарий на сайте: 0
Dima Manisha

Dima Manisha

Эксперт Wmlog. Профессиональный веб-мастер, SEO-специалист, дизайнер, маркетолог и интернет-предприниматель.