Все счета пользователей сервиса находятся в открытом доступе.
Сегодня на сайте habrahabr о наличии уязвимости в платежной системе Киви. Пользователь под ником ethoz опубликовал подробности эксплуатации бреши, позволяющей получить доступ к платежам всех пользователей сервиса.
Уязвимость состоит в недостаточной рандомизации идентификатора счета, по которому осуществляется доступ. Уязвимая ссылка выглядит таким образом:
,
где параметр order является порядковым номером счета в БД. Удаленный пользователь может путем изменения параметра order просмотреть все счета, существующие в системе. Кроме информации о назначении платежа и суммы, есть возможность получить контактный номер телефона, на который была зарегистрирована учетная запись.
Согласно сообщению автора публикации, он сообщил о наличии бреши еще 6 месяцев назад, однако уязвимость не устранена до сих пор. Диапазон на момент отправки отчёта перевалила за 578417740 записей.
Сегодня на сайте habrahabr о наличии уязвимости в платежной системе Киви. Пользователь под ником ethoz опубликовал подробности эксплуатации бреши, позволяющей получить доступ к платежам всех пользователей сервиса.
Уязвимость состоит в недостаточной рандомизации идентификатора счета, по которому осуществляется доступ. Уязвимая ссылка выглядит таким образом:
,
где параметр order является порядковым номером счета в БД. Удаленный пользователь может путем изменения параметра order просмотреть все счета, существующие в системе. Кроме информации о назначении платежа и суммы, есть возможность получить контактный номер телефона, на который была зарегистрирована учетная запись.
Согласно сообщению автора публикации, он сообщил о наличии бреши еще 6 месяцев назад, однако уязвимость не устранена до сих пор. Диапазон на момент отправки отчёта перевалила за 578417740 записей.
Последнее редактирование:
