Фінансові новини
- |
- 23.12.24
- |
- 12:33
- |
- RSS
- |
- мапа сайту
Авторизация
Уязвимость в платежной системе QIWI позволяет получить личные данные пользователей
09:21 21.07.2015 |
Вчера на сайте habrahabr.ru появилась публикация о наличии уязвимости в платежной системе QIWI. Пользователь мод ником ethoz опубликовал подробности эксплуатации бреши, позволяющей получить доступ к платежам всех пользователей сервиса.
Уязвимость состоит в недостаточной рандомизации идентификатора счета, по которому осуществляется доступ. Уязвимая ссылка выглядит таким образом:
https://w.qiwi.com/order/external/main.action?order=524928171&phone=12345,
где параметр order является порядковым номером счета в БД. Удаленный пользователь может путем изменения параметра order просмотреть все счета, существующие в системе. Кроме информации о назначении платежа и суммы, есть возможность получить контактный номер телефона, на который была зарегистрирована учетная запись.
Согласно сообщению автора публикации, он сообщил о наличии бреши еще 6 месяцев назад, однако уязвимость не устранена до сих пор.
|
|
ТЕГИ
ТОП-НОВИНИ
ТОП-НОВИНИ
ПІДПИСКА НА НОВИНИ
Для підписки на розсилку новин введіть Вашу поштову адресу :