habrahabr

Как я племянника с Днем рождения поздравлял

  • среда, 31 декабря 2014 г. в 02:11:08
http://habrahabr.ru/post/247115/

В очередной раз, когда я пользовался интернет-банкингом украинского Альфа-банка, мое внимание привлекла форма отправки квитанции на имейл:



Интересное в ней было то, что заголовок письма и текст сообщения можно было редактировать. Исследовав отправляемый на сервер запрос, я добился того, что можно было саму квитанцию не отправлять, а только тему письма и текст сообщения.

Полученный запрос приобрел следующий вид:

https://my.alfabank.com.ua/report/email?id=&type=order&recipientEmail=your.email@gmail.com&subject=Привет!!!&body=Тут текст сообщения и ссылка http://fakesite.com&next=

Таким образом, получилось, что я могу отправить абсолютно любого содержания письмо от имени Альфа-Банка с адреса ccd@alfabank.kiev.ua на любой имейл. Я сразу же уведомил о найденной уязвимости службу безопасности банка, но, к сожалению, спустя 2 месяца они так и не предприняли меры по её устранению. Единственно, что успокаивает, так это то, что с недавних пор в интернет-банкинге введена обязательная двухфакторная авторизация через смс или имейл и, таким образом, использовать эту уязвимость на взломанных аккаунтах стало на порядок сложнее.

Ну и напоследок, пользуясь случаем, я поздравил племянника с прошедшим Днем рождения: