В очередной раз пользуясь интернет-банкингом украинского Альфа-банка, мое внимание привлекла форма отправки квитанции на имейл:
Интересное в ней было то, что заголовок письма и текст сообщения можно было редактировать. Исследовав отправляемый на сервер запрос, я добился того, что можно было саму квитанцию не отправлять, а только тему письма и текст сообщения.
Полученный запрос приобрел следующий вид:
https://my.alfabank.com.ua/report/email?id=&type=order&recipientEmail=your.email@gmail.com&subject=Привет!!!&body=Тут текст сообщения и ссылка http://fakesite.com&next=
Таким образом получилось, что я могу отправить абсолютно любого содержания письмо от имени Альфа-Банка с адреса ccd@alfabank.kiev.ua на любой имейл. Я сразу же уведомил о найденной уязвимости службу безопасности банка, но, к сожалению, спустя 2 месяца, они так и не предприняли меры по её устранению. Единственно, что успокаивает, так это то, что с недавних пор в интернет-банкинге введена обязательная двухфакторная авторизация через смс или имейл и таким образом использовать эту уязвимость на взломанных аккаунтах стало на порядок сложнее.
Ну и напоследок, пользуясь случаем, я поздравил племянника с прошедшим Днем рождения.
Автор: dinikin
