7

Уязвимость на сайте одной курьерской службы

Сделал я заказ в одном интернет магазине что не рекламирует только ленивый блогер...

Мне пришел трек-номер для отслеживания посылки в одной из курьерских служб, и сразу нашел несколько уязвимостей, потенциально интересных для мошенников(я не такой, но в конце предложу одну черновую потенциальную схему, так что будьте осторожны)


1) Делаем запрос по трек коду, проходим капчу и получаем:

Уязвимость на сайте одной курьерской службы Мошенничество, Баг, Длиннопост

2) Замечательно, и тут я подумал может автоматизировать запрос? пойдем посмотрим обращения к апи:

Уязвимость на сайте одной курьерской службы Мошенничество, Баг, Длиннопост

Ух ты а тут утечка перс данных...


4) вы же помните что мы проходили капчу? так вот в запросе это указано, и достаточно пройти ее один раз потом он принимает ее, нужно только менять трек-номер, а система думает что капча пройдена...

Уязвимость на сайте одной курьерской службы Мошенничество, Баг, Длиннопост

5) по поводу капчи можно написать скрипт который будет искать корректные номера заказов в автоматическом режиме, и обходить капчу вот такой ссылкой...

Ну и на сладкое черновой вариант диалога по телефону с мошенником:

М: здравствуйте, я из $CompanyName по вашему заказу, у на сегодня акция мы доставим вам его бесплатно до двери, только нужно оплатить $Summ картой, я направлю вам ссылку для оплаты смс, просто перейдите и оплатите.


И отправляет смс вида:

Для оплаты заказа с $ShopName в размере $Summ перейдите по ссылке $BadAcquiring



Выводы? ни кому не доверяйте! Всегда пользуйтесь номерами для проверки на официальных сайтах, и будьте бдительны

Найдены возможные дубликаты

0

@guardianspirit, спасибо,  уже поправили :)

0

@BoxBerry, хз вы не вы

0

И правда выдаёт телефон. Но вот контакты-то есть https://boxberry.ru/contacts/write_a_letter_to_support/

раскрыть ветку 1
0

Ну вроде уже написали, так что я был не достаточно внимателен

0

Ты ведь понимаешь, что только что бесплатно слил бизнес-план?:)

раскрыть ветку 1
0

Могу яндекс кошелек приложить :) Ну и это в оба конца работает, ведь канал открытый, а не дарк нет.

0
А я сообщил))
-1

Вы конечно сообщили владельцам сайта и дали им возможность все исправить, а не побежали моментально хвастаться на Пикабу?

раскрыть ветку 1
0

У них на сайте нет графы сообщить об ошибке, я честно хотел, а отдел продаж... я уже звонил таким ни чего они не передают.

Похожие посты
Похожие посты не найдены. Возможно, вас заинтересуют другие посты по тегам: