How to become an author
Search
Write a publication
Pull to refresh

Comments 19

UFO just landed and posted this here
Вы правы, можно сформировать урл таким образом, что при нажатии на кнопку отправки перевода, данные карты отправлялись на сторонний сайт. Но если это по какой-то причине не удастся сделать злоумышленнику, украсть cvv2 ему будет проще
Total votes 1: ↑1 and ↓0+1
Если XSS еще можно понять и простить — банк же, ожидаемо что там сидят студенты не слыхавшие ни о HttpOnly ни о Secure флагах для куки.
Но хранить CVV совсем уж фейл и выход из профессии.
Total votes 6: ↑5 and ↓1+4
UFO just landed and posted this here
— прикручивал к нему PayPal.

какие карты в paypal транзакциях? только email.
Total votes 1: ↑0 and ↓1-1
UFO just landed and posted this here
Несколько лет назад эквайринг мастер-банка после оплаты пользователем присылал магазину первые 4 цифры номера карточки, последние 4 цифры номера карточки и… md5 от номера карточки. Даже без соли.
Пришлось удостовериться, что ответы не попадают случайно ни в какие логи на сервере.
This comment wasn’t rated yet0
То что поле cvv заполняется — не значит, что значение хранится на сервере. Можно использовать localStorage, например.
This comment wasn’t rated yet0
К сожалению не могу сейчас проверить, сервер возвращает 500-ю
This comment wasn’t rated yet0
>localStorage
>украинский банк

Нет, там в сессии, которая на сервере.
Total votes 6: ↑4 and ↓2+2
CVV там судя по всему хранится в сессии, заполнил данные, ввел CVV 123, отправил. В другом окне открыл ссылку — CVV заполненый остался, при чем не из localStorage, а прямо HTML прописан. Открыл ссылку в приватной вкладке (или в другом браузере) CVV уже не заполнен.
Total votes 1: ↑1 and ↓0+1
Хех, меня банк по IP забанил, 500-ю возвращает, через hidemyass.com сайт грузится нормально
Total votes 17: ↑17 and ↓0+17
UFO just landed and posted this here
Хакер заблокирован, клиенты в безопасности. Все ок!
Total votes 21: ↑21 and ↓0+21
UFO just landed and posted this here
А вдруг еще что-то найдете?
Total votes 4: ↑4 and ↓0+4
Проверил конфигурацию HTTPS. ВНЕЗАПНО, рейтинг А!

www.ssllabs.com/ssltest/analyze.html?d=pay.fidobank.ua

sslcheck.globalsign.com/ru/sslcheck?host=pay.fidobank.ua#91.208.52.155-srv-reg-cert-ssl-misc

Даже HSTS и SPDY в наличии. Во дают!

Список несущественных проблем:
— Сертификат SHA1
— Не включено OCSP-сшивание (механизм получения состояния сертификата от самого сайта, а не CA)
— Сервер отдаёт предпочтение шифрам на основе длины AES, а не его режима. В результате браузеры, которые не поддерживают 256-битный AEAD GCM (а это все, кроме Android 4.4 и Internet Explorer на Windows 8 / 10), используют 256-битный CBC + MAC, что признано «устаревшей технологией». Сервер должен в первую очередь отдавать предпочтение всем шифрам AEAD GCM.
habrastorage.org/files/65a/b83/603/65ab8360302b4738be7a74db84d8e5cf.png
This comment wasn’t rated yet0
Этой частью скорее всего занимался уже кто-то более квалифицированный.
Total votes 1: ↑1 and ↓0+1
Странно, что в комментах не упомянули Мицгола.
Total votes 1: ↑1 and ↓0+1
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr