Банальная XSS уязвимость на странице p2p переводов Фидобанка, позволяющая украсть cvv2 код пользователя
Если вы новый, перспективный, современный банк, который хочет идти в ногу с быстро меняющимся миром технологий, тогда вы должны уделять должное внимание безопасности своих сервисов. И внимание это заключается также в следовании требованиям международных платежных систем.
К сожалению, не все банки это понимают.
Однажды пришлось мне воспользоваться услугой мгновенного перевода с карты на карту, для этой цели я решил воспользоваться сервисом одного из украинских банков, а именно «Фидобанка».
После осуществления платежа меня переадресовало на страницу вида pay.fidobank.ua/TransCard/pay?SenderTransID=TS1421332314712
Я решил проверить, фильтруется ли значение параметра SenderTransID, которое выводилось на странице.
Читать дальше →
К сожалению, не все банки это понимают.
Однажды пришлось мне воспользоваться услугой мгновенного перевода с карты на карту, для этой цели я решил воспользоваться сервисом одного из украинских банков, а именно «Фидобанка».
После осуществления платежа меня переадресовало на страницу вида pay.fidobank.ua/TransCard/pay?SenderTransID=TS1421332314712
Я решил проверить, фильтруется ли значение параметра SenderTransID, которое выводилось на странице.
Читать дальше →
Источник: Хабрахабр
