--- title: "cabinet.idport.kz — pentest!" description: "Всем доброго дня! К делу! Как правило если я что-то нахожу я всегда сообщаю об этом разработчику и ж..." author: "b4trjan" published: "2014-05-23T09:50:08+00:00" modified: "2014-05-23T09:50:08+00:00" locale: "ru" canonical_url: "https://yvision.kz/post/cabinet-idport-kz-pentest-414727" markdown_url: "https://yvision.kz/post/cabinet-idport-kz-pentest-414727/markdown" site_name: "Yvision.kz" --- # cabinet.idport.kz — pentest! > Всем доброго дня! К делу! Как правило если я что-то нахожу я всегда сообщаю об этом разработчику и ж... Всем доброго дня! К делу! Как правило если я что-то нахожу я всегда сообщаю об этом разработчику и жду ответа определенное время, но, иногда ждать приходится очень долго, а иногда ответа нет совсем, ну что ж видимо так заинтересованы раз молчат.   Сегодня мы с Вами рассмотрим одну маленькую уязвимость на сайте cabinet.idport.kz, я почти не сомневаюсь что большинство из Вас сейчас даже и не вспомнят какой логин и пароль для доступа у вас к нему:) . И так, сайт не маленький и раскрывать все что я нашел не буду, дабы не навредить тем кто отвечает за данные ресурс.   Поехали! Заходим на портал, и сразу идем к пункту "Счета и платежи" (рис.1) ![Рисунок 1](http://storage.yvision.kz/images/user/b4trjan/RH1m0YK5UAV8OZz1xhTcZ2qN4gALo7.png) Нас интересует поле "Счета", а именно строчка "Номер счета" (выделено красным) кликаем по нему, и получаем рис. 2 ![Рисунок 2](http://storage.yvision.kz/images/user/b4trjan/lsPbPhtYFW3CuwZX3el2PCb85qTYS0.png) Как Вы можете понять это детализация за какие услуги и сколько мы платим. Теперь посмотрим что же происходит когда мы кликаем по номеру счета рис.3. ![Рисунок 3](http://storage.yvision.kz/images/user/b4trjan/9XLQnqW5ECR1G4Y8U9Axx7pSQIogEM.png) а происходит открытие фрейма по ссылке presentation/billing/divReqPosit.cfm?billId=**40****039**&reload=true&sSelectDate=**5,** где в поле *billId* указывается номер счета и в поле *sSelectDate* номер месяца (сейчас выбран 5, т.е. май).   Теперь заменяем значение в поле *billId* на любой по своему желанию, а я попробую вот этот **402021039** нажимаем ENTER что бы все сохранилось, опять жмем на номер счета рис. 4. ![Рисунок 4](http://storage.yvision.kz/images/user/b4trjan/k50c52wZ3ekog3UJ0uLcNAbnVxxd2q.png) Как результат мы видим чужую детализацию.   Есть идеи или предложения пишите: sys32_89@mail.ru --- Source: [https://yvision.kz/post/cabinet-idport-kz-pentest-414727](https://yvision.kz/post/cabinet-idport-kz-pentest-414727)