Как уязвимость платежной системы раскрывала данные кредитных карт Хабрахабр. Недавно решил проверить на уязвимости сайты платежных систем ua,ru. Нашл топ такого рода сервисов, на множестве из которых были обнаружены xss, csrf и другие популярные уязвимости. Были компании, которые оперативно устраняли уязвимости, благодарили и договаривались о сотрудничестве, были, которые молча фиксили, и самый неприятный момент компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили. Есть одна платежная система, на которой присутствовала уязвимость, позволяющая получить критически важную информацию о пользователе, его пароле, кредитной карте и тд. Клиентам следует помнить о том, что данные кредитных карт информация секретная. Даже банк, в котором вы получаете кредитную карту, не может. Daily Денис Кусков рассказал, как не стать жертвой вируса Neutrino, который крадет данные банковских карт. Эксперт в комментарии. Баг очень легко воспроизводился, правда вывод средств со взломанных аккаунтов был затруднен по нескольких причинам, расскажу о них под катом. Сайт компании https www. Украине. Я обычно не трачу много времени на каждый сайт, потому что ещ не известно, как относится к уязвимостям на свом сайте владелец, возможно он проигнорирует уязвимость и мо время будет потрачено зря. Если нашл первую стоящую уязвимость на сайте, то я е сразу репорчу, смотрю на реакцию владельца, и если он положительно относится к такого рода мероприятиям и хочет чтобы я сотрудничал с ним дальше, то продолжаю свои поиски. Первое, что я сделал это проверил поддомены и директории по моему словарю, поддомены были выявлены следующие mail. Далее была просмотрена выдача по google доркам, увы, поиск не увенчался успехом, и единственное что было найдено статья. Gorodnya на Хабре о том, как он нашл уязвимость на plategka, и о том как ему заплатили очень много денег всего 8. Следующим шагом было решено протестить функционал личного кабинета, csrf баги не удалось воспроизвести из за подтверждения паролем для изменения данных, также стояли фильтры на xss. Единственное, что было обнаружено это self xss в подтверждении формы паролем, опасность такой баги минимальна, поэтому нужно было искать что то другое и более серьезное. Одна вещь, на которую я обратил внимание это сервис pay. Данные Банковских Карт' title='Данные Банковских Карт' />Его работа заключается в обработке данных о кредитных картах, я посчитал это интересным предметом для изучения. Раньше натыкался на новости с этим сервисом, но не обращал на них особого внимания. Инструкция к созданию В личном кабинете есть соответствующая вкладка Настройки Pay. Для создания уникальной ссылки необходимо ввести ее название, 1. Вот 13 сайтов, которые воруют данные банковских картДобавить. Внимание привлек ответ бурпа. В исходном коде страницы с оплатой в javascript выдавался логин юзера, md. ФИО, email и номер телефона. Я знал, что ссылок должно быть намного больше, потому что сервис пользуется хорошей популярностью. Купить Данные Банковских Карт' title='Купить Данные Банковских Карт' />Ютубнулись данные банковских карт немагия, тинькофф банк, Тиньков, банковская карта, youtube. Спешу сообщить, что некоторые. Последним шансом получить заветные ссылки стал брутфорс в интрудере, было загружено более 1. Получилось найти около 4. Я зашл на пару аккаунтов проверить, шифруются ли cvv. MiNLd06stXNCwi7G_02xwXdiSLP42GQm3GAtHE5MWbM_k3ydZs-Rv8OCdmZVo3U=h900' alt='Данные Банковских Карт' title='Данные Банковских Карт' />На первом аккаунте обнаружил 3 действительных карты На втором было 2. Чтобы обналичить карты, можно, например, пополнить webmoney, или другой электронный кошелк. Но для того, чтобы это сделать, придется ввести cvv. Первое, что мы можем сделать это ввести рандомный cvv. Часто нас редиректит на ввод otp от банка, и тогда платж не проходит из за неверного cvv. Также можем забрутить cvv. Если у нас будет дата и частичный номер карты, то обычная фишинг атака может заставить юзера рассказать о номере своей карты мы получили email, номер телефона, ФИО, я даже смог получить несколько ссылок на страницы пользователей в соцсетях, даже обычное письмо вида Вы выиграли денежный приз, для его получения Вам необходимо прислать нам номер Вашей карты может сработать, действие не требует предоставления критических конфиденциальных данных. Чтобы подобрать cvv. Конечно, некоторые магазины делают редирект на ввод otp от банка, но многие забугорные магазины сразу списывают деньги без необходимости редиректа. Уязвимость была зарепорчена почти сразу после брутфорса, в комплекте к данным по уязвимости прислал и базу пользователей, которые были оперативно заморожены, а сам баг был быстро устранен. За уязвимость заплатили всего 1. Хронология 1. 3. Вывод из статьи Не смотря на заявленное прохождение PCI DSS, я бы рекомендовал сайтам периодически проверять уязвимости, а клиентам заводить виртуальные карты для использования в Интернет. P. S Если Вам нужен аудит безопасности, то пишите сюда. Драйвер Для Светильников Ja-12350Y. Также, если Вас интересует мониторинг новых статей, можете подписаться на vktwittertelegram, ссылки внизу. Предыдущая статья.