Всем доброго дня!
К делу! Как правило если я что-то нахожу я всегда сообщаю об этом разработчику и жду ответа определенное время, но, иногда ждать приходится очень долго, а иногда ответа нет совсем, ну что ж видимо так заинтересованы раз молчат.
Сегодня мы с Вами рассмотрим одну маленькую уязвимость на сайте cabinet.idport.kz, я почти не сомневаюсь что большинство из Вас сейчас даже и не вспомнят какой логин и пароль для доступа у вас к нему:) . И так, сайт не маленький и раскрывать все что я нашел не буду, дабы не навредить тем кто отвечает за данные ресурс.
Поехали! Заходим на портал, и сразу идем к пункту "Счета и платежи" (рис.1)
Нас интересует поле "Счета", а именно строчка "Номер счета" (выделено красным) кликаем по нему, и получаем рис. 2
Как Вы можете понять это детализация за какие услуги и сколько мы платим. Теперь посмотрим что же происходит когда мы кликаем по номеру счета рис.3.
а происходит открытие фрейма по ссылке presentation/billing/divReqPosit.cfm?billId=40****039&reload=true&sSelectDate=5, где в поле billId указывается номер счета и в поле sSelectDate номер месяца (сейчас выбран 5, т.е. май).
Теперь заменяем значение в поле billId на любой по своему желанию, а я попробую вот этот 402021039 нажимаем ENTER что бы все сохранилось, опять жмем на номер счета рис. 4.
Как результат мы видим чужую детализацию.
Есть идеи или предложения пишите: sys32_89@mail.ru