Pull to refresh
103
0

Тестировщик платежных сервисов

Сразу в голову пришло:
  • Идентификация удалёнки (2002)
  • Превосходство удалёнки (2004)
  • Ультиматум удалёнки (2007)
  • Эволюция удалёнки (2012)

(года писал не по памяти, просто в тему))

Потом:
  • Кошмар на улице удалёнки


007 можно взять:
  • Никогда не говори «удалёнка»
  • Умри, но не удалёнка


Форсаж, например:
  • Тройной форсаж: Токийская удалёнка


Ну и дальше можно продолжать:
  • Властелин удалёнки
  • Побег из удалёнки
  • … А удалёнки здесь тихие
  • Удалёнка с Уолл-стрит
Хорошее дополнение. От себя добавлю "Как я разблокировал найденный телефон" — почему-то про поиск вариантов пароля по соцсетям не упомянули (возможно, всё это будет в следующем посте).

Такие автоответы с ссылкой есть и у официальных сервисов — например, у i.ua


Интересно, сколько писем недополучают люди, настроившие себе такое правило)

Возможно, в реализации Яндекс.Деньги действительно больше препятствий для злоумышленника и данными токена нельзя воспользоваться, но у других платёжных провайдеров оплата чужим токеном — вполне реальная ситуация.
Тут "Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса" я пишу, как смог добавить себе токен другого клиента и оплатить им свой заказ (читать со слов «Платёжные карты добавляются в это приложение»).

Daleko, FYI
Или «Бета».

P.S.: abSession на одном из скринов и hasAlfaCredit на другом как бы намекает
Т.е. у PayPal не было после ввода карты её проверки?
Мне кажется, у PayPal там должна была бы быть при таком восстановлении проверка этой карты на 1 или 1,95 usd. SERVODROIDRU, что скажете?

Знаю про эту проблему давно, но не репортил, потому что наверняка бы отписались, что клиенты, которые выставляют свои данные в интернете, сами виноваты (только другими словами, такой опыт у меня есть с другими bug bounty программами). Вы говорите, что исправили? Подскажите, как?

Krupnikas, круто, что у вас не только текстовое описание, а и визуальное.

Когда я нашёл уязвимости в другом сервисе такси (Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса), я видел такую же ситуацию, но не мог так хорошо расписать её. Что ж, попробую сообщить сейчас, с ссылкой на ваш пост, о результатах сообщу ;)
О, крутые изменения, спасибо!

Нашёл ошибку: если нажать «Не нравится», выбрать во всплывающем окне вариант, а потом передумать (нажать крестик), то при попытке проголосовать «За» — ошибка «Reasons are supported only for negative votes». И чтобы проголосовать «Нравится», пришлось перегружать страницу. Chrome, 78.0.3904.108
Скорее всего (я давал API не того сервиса, через который работает такси), да, из-за того, что clientAccountId необязательный, и есть такие ситуации. Проблема в том, что наверняка большинство тоже не учитывают clientAccountId. Спасибо, что копнули глубже.
Можете посмотреть API популярного в Украине платежного провайдера, там нет информации о привязке к ID аккаунта или ещё чему. Такие дела)
При каждом новом запросе авторизации выполняется новый запрос с новым кодом.
Генерировать подпись я, конечно, не пробовал, но все остальные параметры в запросе перебирал — ничего не отправляется, выдаёт ошибку AUTH ERROR (sign).
В указанной статье про такси описано, что я успешно заказал и оплатил такси с чужим токеном.
Там же указан пример документации одного из провайдеров. К сожалению, токены не привязываются к чему-либо.
Собственно, выше я написал, что с помощью этого запроса SMS нельзя было рассылать, но кто знает, что можно в том сервисе рассылок)

А по токенам — да, в конце третьего случая я указал: похоже на токен из моей предыдущей статьи Как ездить на такси за чужой счёт — это как раз оно)
Мне по операторам, например, вот такая статья нравится: https://habr.com/ru/post/305706/, и этот комментарий в моей.
Не получится, к счастью — при любом изменении параметров ошибка AUTH ERROR (sign).

Information

Rating
Does not participate
Registered
Activity