Rudy 78 Опубликовано 14 марта, 2015 Злоумышленник мог выполнить произвольный Javascript сценарий в браузере пользователя. Сегодня редакции SecurityLab.ru стало известно о наличии XSS-уязвимости в системе Merchant Webmoney Transfer. Уязвимость позволяла произвести XSS нападение на странице оплаты за покупку из-за недостаточной фильтрации входных данных в параметре LMI_PAYMENT_DESC. Предоставлений PoC-код выглядел следующим образом: По словам исследователя Аксенова Дмитрия, он связался с технической поддержкой Webmoney и сообщил об обнаруженной уязвимости, за которую предполагалось вознаграждение. В предоставленной копии переписки сотрудники Webmoney уведомили исследователя, что им уже известно об уязвимости, а также попросили разработать боевой эксплоит для перевода денег со счета жертвы на счет атакующего. На момент написания новости эта уязвимость уже была исправлена. По словам исследователя, вознаграждение за найденную уязвимость он не получил. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
wrfjoe 0 Опубликовано 14 марта, 2015 Что и стоило ожидать от этой ко***ной платежной системы Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
