Безопасность — важнейшая вещь. Тем более, безопасность в интернете. Тем более, для платёжного сервиса, где люди имеют свойство хранить свои финансовые средства. Думаю, со мной никто не поспорит, если я выдвину тезис о том, что одна из крупнейших платёжных систем, компания с многомиллиардным оборотом, не должна позволять себе огрехи в безопасности пользовательских кошельков.
Ниже — просто описание того, как я, обладая далеко не самыми глубокими знаниями в информационной безопасности, смог вывести неограниченное количество средств из третьего кошелька, обладая лишь «кукой» JSESSIONID пользователя.
Читать полностью »