Joomla-Template by go-android.de & android forum
 
   
 
     
 
 

Авторизация



Кто на сайте

Сейчас 56 гостей онлайн

Заказать ддос атаку

Уязвимость в платежной системе QIWI позволяет получить личные данные пользователей

Сегодня появилась публикация о наличии уязвимости в платежной системе QIWI. Уязвимость позволяет получить мобильный номер пользователя, платежи всех пользователей QIWI и перечень счетов пользователя, а в некоторых случаях - ФИО, e-mail.

Уязвимость состоит в недостаточной рандомизации идентификатора счета, по которому осуществляется доступ. Уязвимая ссылка выглядит таким образом:
https://w.qiwi.com/order/external/main.action?order=524928171&phone=12345,
где параметр order является порядковым номером счета в БД. Удаленный пользователь может путем изменения параметра order просмотреть все счета, существующие в системе. Кроме информации о назначении платежа и суммы, есть возможность получить контактный номер телефона, на который была зарегистрирована учетная запись.

Согласно сообщению автора бага, он сообщил о наличии бреши еще 6 месяцев назад, однако уязвимость не устранена до сих пор.

 
Понравилась статья? Поделись ей с друзьми.

Добавить комментарий


Защитный код
Обновить

Блокировка Сайта

Взлом почты.

Взлом почты на заказ

Поиск по сайту

Loading
 
 

 
 
     
 
   

Рейтинг@Mail.ru

Рейтинг@Mail.ruЯндекс.МетрикаСчетчик тИЦ и PR