visa.qiwi.com продолжает радовать отборным говнокодом на своем платежном сайте

0

1

хотя свой прошлый говнокод говнокод: https://visa.qiwi.com/ они пофиксили (кстати, месяц или два назад), но чтобы юзерам жизнь медом не казалась, решили добавить новый

итак, заходим на visa.qiwi.com и смотрим, че нам показывает adblock... а он показывает, в числе прочего такие вот скрипты:

https://www.google.com/jsapi

https://stats.g.doubleclick.net/dc.js

особенно последний — это 39528 байт пожатого кода; беглый взгляд выделяет подстроку:

... c=new ActiveXObject(d+".6"),e="WIN 6,0,21,0",c.AllowScriptAccess="always" ...

особенную пикантность этому коду придает то, что, как я уже писал, отправка формы авторизации киви делается через ява-скрипт

т.е. любой кодер из doubleclick.net совершенно не напрягаясь может сливать логины-пароли юзеров платежной системы visa.qiwi.com либо напрямую, либо, если ему это кажется недостаточно утонченным, делать это замаскированно, наколбасив кода в dc.js со «случайной» уязвимостью, и юзая уже ее

то же, собственно, относится к гуглю

Ссылка

←	Nvidia хоронит CUDA и OPENCL для x86

Как правильно поделить шкуру неубитого медведя?

→

DoubleClick был куплен Google, собственно.

Darth_Revan ★★★★★
(09.11.13 19:50:31 MSK)

Ссылка

У них есть bug bounty, так что можете денег подзаработать :)

XVilka ★★★★★
(09.11.13 19:50:39 MSK)

Ответ на: комментарий от XVilka 09.11.13 19:50:39 MSK

у кого «у них»? у визы?

а вообще я ни разу не джаскриптист, копаться в этой овсянке

www_linux_org_ru ★★★★★
(09.11.13 19:52:54 MSK) автор топика

Ответ на: комментарий от XVilka 09.11.13 19:50:39 MSK

пойнт в том, что логин-пароль платежной системы могут легко уйти третьей стороне, что как-то совсем небезопасно

www_linux_org_ru ★★★★★
(09.11.13 19:54:02 MSK) автор топика

Ссылка

Ответ на: комментарий от www_linux_org_ru 09.11.13 19:52:54 MSK

У qiwi.

Для получения вознаграждения пользователю нужно направить письмо на адрес hack@qiwi.ru с описанием ошибки и своими контактными данными. Каждая заявка рассматривается специально созданной рабочей группой в срок до 15 рабочих дней с момента получения отправителем автоматического подтверждения доставки письма. Все ошибки, присылаемые для тестирования, будут оцениваться по двум самым важным для QIWI критериям: возможность повторения и денежная оценка возможного ущерба, который она может нанести. В зависимости от критичности данных факторов будет рассчитываться сумма вознаграждения. Количество заявок присланных от одного лица не ограниченно. В Программе лояльности может участвовать любой пользователь, не имеющий прямого доступа к коду QIWI. Единственное условие, которое QIWI ставит перед участниками — обязательное соблюдение правил конфиденциальности. Сутью которых является неразглашение содержания найденной ошибки до момента вынесения сотрудниками QIWI официального решения.

XVilka ★★★★★
(09.11.13 20:05:38 MSK)
Последнее исправление: XVilka 09.11.13 20:07:31 MSK (всего исправлений: 1)

Ответ на: комментарий от XVilka 09.11.13 20:05:38 MSK

ок, буду знать на будущее

но в данном случае «неразглашение содержания найденной ошибки до момента вынесения сотрудниками QIWI официального решения» невозможно (я уже запостил сюда)

www_linux_org_ru ★★★★★
(09.11.13 20:14:45 MSK) автор топика

Ответ на: комментарий от www_linux_org_ru 09.11.13 20:14:45 MSK

ВОРУЙ, ОБМАНЫВАЙ, ЗАРАБАТЫВАЙ

parrto ★
(09.11.13 20:19:25 MSK)

Ссылка

Ответ на: комментарий от www_linux_org_ru 09.11.13 20:14:45 MSK

Это же не ошибка, это потенциальная уязвимость

pekmop1024 ★★★★★
(09.11.13 20:19:37 MSK)

Ответ на: комментарий от pekmop1024 09.11.13 20:19:37 MSK

да

поэтому при желании ее можно и не считать ошибкой (гы-гы), но со стороны кодера киви или какого-то успешного менеджера в киви, не устроившего минимальный аудит кода — это однозначно ошибка

www_linux_org_ru ★★★★★
(09.11.13 20:25:02 MSK) автор топика
Последнее исправление: www_linux_org_ru 09.11.13 20:25:26 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от www_linux_org_ru 09.11.13 20:14:45 MSK

расслабься. для киви денежный ущерб нулевой. а юзеры этого чуда изначально искатели приключений на свою жопу. так что все в порядке.

der_looser ★★
(09.11.13 20:44:15 MSK)

Вообще ни разу не пользовался их вебмордой. Только со смартфона.

SjZ ★★★★★
(09.11.13 20:59:27 MSK)

Ссылка

Ответ на: комментарий от der_looser 09.11.13 20:44:15 MSK

а юзеры этого чуда изначально искатели приключений на свою жопу

Ну давай, давай, предложи другой безгемморойный способ оплаты и ввода-вывода денег, причем круглосуточный.

SjZ ★★★★★
(09.11.13 21:00:35 MSK)

Ответ на: комментарий от der_looser 09.11.13 20:44:15 MSK

для киви денежный ущерб нулевой

подозреваю, что да

а юзеры этого чуда изначально искатели приключений на свою жопу

там многое сделано через жопу — скажем, к счету с самого начала привязана постоянная карта, хотя могли бы отделить собственно счет и карту (такие карты у них можно купить, но вроде бы нельзя удалить изначальную, основную карту)

я вот юзер, т.к. автоматов много и бегать близко; впрочем, постоянно держу на нем в районе $10...20, а когда надо истратить $100, бегу до ближайшего терминала, кладу и дома уже сразу трачу

www_linux_org_ru ★★★★★
(09.11.13 21:01:07 MSK) автор топика
Последнее исправление: www_linux_org_ru 09.11.13 21:05:29 MSK (всего исправлений: 1)