Банальная XSS уязвимость на странице p2p переводов Фидобанка, позволяющая украсть cvv2 код пользователя

Если вы новый, перспективный, современный банк, который хочет идти в ногу с быстро меняющимся миром технологий, тогда вы должны уделять должное внимание безопасности своих сервисов. И внимание это заключается также в следовании требованиям международных платежных систем.

К сожалению, не все банки это понимают.

Однажды пришлось мне воспользоваться услугой мгновенного перевода с карты на карту, для этой цели я решил воспользоваться сервисом одного из украинских банков, а именно «Фидобанка».
После осуществления платежа меня переадресовало на страницу вида pay.fidobank.ua/TransCard/pay?SenderTransID=TS1421332314712
Я решил проверить, фильтруется ли значение параметра SenderTransID, которое выводилось на странице.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• API-безопасность 2026: почему защита требует нового подхода
• Мартовское обновление ВКонтакте привело к рекордному росту просмотров
• 30% крупных брендов отказываются от лендингов в пользу чековых ботов, а интерес к промо в Max вырос на 40%
• Реализация требований обеспечения безопасности критической информационной инфраструктуры с помощью автоматизации
• MarketingNews: Не просто космос: как BUNGLY и Московский планетарий делают науку частью жизни
• 48% участников рекламного рынка уже используют ИИ и машинное обучение в своей работе
• Дело 2005г.: Sony BMG против собственных покупателей или как защита от пиратства превратилась в руткит
• Black Box пентест: как один домен привел к полной компрометации инфраструктуры. Часть 2
• Black Box пентест: как один домен привёл к полной компрометации инфраструктуры. Часть 1
• Блог ленивого инвестора: ❓ Почему психологический комфорт - это финансовый актив