Как я племянника с Днем рождения поздравлял

в 13:02, , рубрики: Альфа-Банк, информационная безопасность, платежные системы, спам, уязвимости

В очередной раз пользуясь интернет-банкингом украинского Альфа-банка, мое внимание привлекла форма отправки квитанции на имейл:
Как я племянника с Днем рождения поздравлял - 1

Интересное в ней было то, что заголовок письма и текст сообщения можно было редактировать. Исследовав отправляемый на сервер запрос, я добился того, что можно было саму квитанцию не отправлять, а только тему письма и текст сообщения.

Полученный запрос приобрел следующий вид:

https://my.alfabank.com.ua/report/email?id=&type=order&recipientEmail=your.email@gmail.com&subject=Привет!!!&body=Тут текст сообщения и ссылка http://fakesite.com&next=

Таким образом получилось, что я могу отправить абсолютно любого содержания письмо от имени Альфа-Банка с адреса ccd@alfabank.kiev.ua на любой имейл. Я сразу же уведомил о найденной уязвимости службу безопасности банка, но, к сожалению, спустя 2 месяца, они так и не предприняли меры по её устранению. Единственно, что успокаивает, так это то, что с недавних пор в интернет-банкинге введена обязательная двухфакторная авторизация через смс или имейл и таким образом использовать эту уязвимость на взломанных аккаунтах стало на порядок сложнее.
Ну и напоследок, пользуясь случаем, я поздравил племянника с прошедшим Днем рождения.
Как я племянника с Днем рождения поздравлял - 2

Автор: dinikin

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js