Эксплуатируем XSS уязвимость на сайте ipay.ua для кражи карточных данных03.06.2015 13:32

Продолжая пинтестинг отечественных платежных систем, я остановился на довольно популярном в Украине платежном сервисе ipay.ua.Меня интересовало, на сколько PCI DSS сертификация платежными системами и проводимое ими ежеквартальное ASV-сканирование (в том числе на наличие XSS уязвимостей) гарантирует защиту данных клиентов.Моё внимание привлекла форма p2p переводов по адресу www.ipay.ua/ru/p2p. Проверяя форму на фильтрацию вводимых данных, я добрался до поля для комментария и, как обычно, для первичной проверки начал вводить текст »/> Карточные данные в форме я заполнил заранее для простоты демонстрации.Теперь отправив эти данные на сервер ipay.ua, получим форму для p2p перевода, заполнив которую, наша жертва при попытке редактирования комментария (например при его удалении), отправит свои карточные данные на сторонний сервер: Таким образом злоумышленнику достаточно разместить на своём сайте ссылку под видом рекламы p2p переводов и перенаправить POST запросом пользователя на страницу https://www.ipay.ua/ru/p2p с внедренным зловредным кодом, что бы иметь возможность украсть данные карты жертвы.

Я, естественно, сообщил о данной уязвимости в саппорт и мне ответили, что если разработчики посчитают нужным, свяжутся со мной.Но по истечению 3 недель, со мной ни кто так и не связался, а уязвимость так и остаётся открытой.Так как данным сервисом пользуются под своим брендом и другие довольно крупные компании (например Сбербанк), значит потенциально под угрозой намного большее количество пользователей.Поэтому цель данной статьи не только показать один из вариантов эксплуатации XSS уязвимости, но и как можно быстрее донести информацию о её наличии до ответственных лиц в компании Ipay.ua