• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья 20 лет проблем приема платежей 💸

Отслеживать
Veil сказал(а):
Подмена номера на СМС не возможна, так как идет по другому каналу. Подменить номер можно только при звонке.

Всё очень просто. Все люди считают, что это сделать невозможно. Но находится один смельчак, который с этим не согласен…“ - Альберт Эйнштейн.

Хочешь сказать, что ни в SMPP, ни в имплементации клиентов никогда не было уязвимостей? А в sms getway'ях нет такой штуки как sender id.

Забавно наблюдать))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Bo0oM сказал(а):
Забавно наблюдать))
Приведи пример сервиса который делает подмену номера на смс? Именно подмена номера на СМС, а не звонок с подменой номера.
Bo0oM сказал(а):
Хочешь сказать, что ни в SMPP, ни в имплементации клиентов никогда не было уязвимостей?
Есть, но это уровень практически не доступный юзеру. На самой станции много чего сделать может и инженер, и мент, но если это считать уязвимостью, то тогда всё уязвимо. :)
Есть штучки которые обыкновенный юзер не сделает никогда в жизни, станционный инженер если сделает, то мухой окажется на нарах, а спецслужбы могут. Это и есть сертифицированное оборудование, где ключи от черного входа лежат у соответствующих служб.
Я не знаю считается это уязвимостью или нет?
 
Хорошая статья, хотя ничего нового в принципе нет, тем не менее эти уязвмости работают много где.
В последние годы постоянно вижу попытки использовать их на своем сайте, сейчас видимо станет ещё больше :)
Не вижу финальной части, но есть еще одна серьезная функциональная уязвимость, которая присутствует на многих платежах, но о ней лучше не распространяться...
 
ring0 сказал(а):
Не вижу финальной части, но есть еще одна серьезная функциональная уязвимость, которая присутствует на многих платежах, но о ней лучше не распространяться...
Можно на ее основе написать статью =)

Материалы Bo0oM всегда супер интерактивные, читается, как сериал =) Круто. Если кто-то когда-то будет писать "мне не хватает символов", "не о чем писать", "скучно, статьи никто не читает", "смысл палить баги за призовые", я смело буду давать ссылку на эту статью. Здесь Bo0oM разбивает в ноль все эти тезисы =)
 
admin сказал(а):
Можно на ее основе написать статью =)

Материалы Bo0oM всегда супер интерактивные, читается, как сериал =) Круто. Если кто-то когда-то будет писать "мне не хватает символов", "не о чем писать", "скучно, статьи никто не читает", "смысл палить баги за призовые", я смело буду давать ссылку на эту статью. Здесь Bo0oM разбивает в ноль все эти тезисы =)

Не хочу повторяться, так первое место не занять ;)
Думаю, что Bo0oM и так знает об этом, просто не написал специально, чтобы куча сервисов не рухнуло.
Плюс посмотрел на темы спонсора, битки видимо будут не совсем чистыми, лучше с hackerone посотрудничать :)
 
Для тех, кто хочет протестировать данные уязвимости "in the wild", даю ещё один намёк кроме хак. форумов:
WM + проверка на сумму платежа работала когда тестировал на парочке старых ру хостингах
Race condition работала некоторое время назад, как сейчас так же не знаю, на конкуренте rsocks
 
Veil сказал(а):
Приведи пример сервиса который делает подмену номера на смс? Именно подмена номера на СМС, а не звонок с подменой номера.

Есть, но это уровень практически не доступный юзеру. На самой станции много чего сделать может и инженер, и мент, но если это считать уязвимостью, то тогда всё уязвимо. :)
Есть штучки которые обыкновенный юзер не сделает никогда в жизни, станционный инженер если сделает, то мухой окажется на нарах, а спецслужбы могут. Это и есть сертифицированное оборудование, где ключи от черного входа лежат у соответствующих служб.
Я не знаю считается это уязвимостью или нет?
есть смсц в других странах более лояльных, есть ситуации, когда мап фильтрация входящих смс с внешних смсц по семерке не работает, есть куча нюансов и разночтений в том же смпп, вариантов масса. просто они доступны определенному кругу лиц, а не всем подряд, как в давние непуганные времена.
 
Гайз, я тут пока в отпуске, поэтому хайд показывайте второму автору - Kaimi)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Что-то все эти Tamper Data перестали работать на новом Firefox'е.
Ну ничего Fiddler тоже не плохо справляется.
Burp Suite так и не смог в своё время осилить, какой-то он интуитивно непонятный :)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх