|
0 Всего найдено: 1
gisttin
Сообщение
06/04/2010 12:26
Копия темы
0
Интернет провайдер Инфолинк – дыра в безопасности 22 марта 2010 года совершено случайно обнаружил отсутствие защиты на странице “Личный кабинет пользователя” – это позволяло сделать любое изменение в любой учетной записи не авторизовавшись на странице, например: - Злонамеренно перегрузить тариф несколько раз и пользователь уйдет в минус. - Сменит MAC-адрес - Посмотреть финансовую статистику - Включить платные услуги и т.д. Для этого достаточно было посмотреть на конечный URL ajax функции, и ввести его с нужными параметрами в любом браузере. Сейчас дыра, которая существовала (может быть, целый год) устранена: на скрипт принимающий ajax запросы поставили аутентификацию. Посмотреть код этой страницы меня заставило то, что изменение тарифного плана не вступило в силу с нового учетного периода, а тех поддержка отказалась его поменять в ручную по причине того что у “них там” последним указан такой же тариф какой и был, я выяснил что (может быть) ошибся в выборе тарифа из-за неюзабильности веб-приложения, но обнаружил отсутствие защиты. Если у абонетов происходили "странности" с учетной записью, то я считаю, что можно требовать объясения от представителей Инфолинка. |
|
Выразить восторг, поругаться или предложить что-нибудь можно на форуме |
Для обсуждения этого сервиса так же есть темы на фрилансе по поиску , флудотопу ,и по удалённым сообщениям ,и по Актуальным/популярным темам , и по топу "кто кому больше наотвечал" |