Поскольку Приватбанк не отреагировал на сообщения с описанием уязвимостей его платежной системы Liqpay, я, выждав несколько месяцев, подкреплю тезисы своей предыдущей статьи реальными примерами. Кроме этого, считаю, что пинок будет полезным — я ниже посоветую ПБ как в некоторой степени потушить баги. Возможно, эти уязвимости уже используются, а их характер такой, что страдают конечные пользователи. Заставляя ПБ действовать, будем их (пользователей) выручать.
Как я отмечал, наиболее часто ошибки допускаются в логике формирования подписи к ключевым данным. Проблема в том, что эти ошибки концептуальные, а не в реализации.
Читать полностью »
