Как уязвимость платежной системы раскрывала данные кредитных карт

Недавно решил проверить на уязвимости сайты платежных систем (ua,ru). Нашёл топ такого рода сервисов, на множестве из которых были обнаружены xss, csrf и другие популярные уязвимости. Были компании, которые оперативно устраняли уязвимости, благодарили и договаривались о сотрудничестве, были, которые молча фиксили, и самый неприятный момент — компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили (maxkassa.ru).

Есть одна платежная система, на которой присутствовала уязвимость, позволяющая получить критически важную информацию о пользователе, его пароле, кредитной карте и тд. Баг очень легко воспроизводился, правда вывод средств со взломанных аккаунтов был затруднен по нескольких причинам, расскажу о них под катом. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Вредоносная атака на Laravel-Lang
• Двигатель, колёса и панель приборов: Из чего на самом деле состоит ваш сайт
• Meta 1 мая показала как они хранят ключи от ваших бэкапов WhatsApp. Разбираю архитектуру и сравниваю
• CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
• Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
• QNAME minimisation на практике: RFC 7816, реализация, грабли
• Двигатель внутреннего сгорания и PHP: Почему старые технологии не умирают
• Вы платите OpenAI $20 в месяц, а он зарабатывает на вас ещё $100 млн за полтора месяца. И это только начало
• Объявлены победители Workspace Digital Awards-2026
• Как бизнесу оценить готовность к аттестации по новому Приказу ФСТЭК № 117