Wpis z mikrobloga

Skopiuj link

30.03.2017, 06:50:45

Znalazł dziurę w banku Millennium, która pozwalała kraść dane innych klientów. Zgłosił i usłyszał: ale nie wolno zmieniać parametrów w URL! :D O tym co było dalej, w artykule:

https://niebezpiecznik.pl/post/bank-millenium-mial-blad-umozliwiajacy-pobieranie-polis-z-danymi-osobowymi-innych-klientow/

#millennium #banki #security #hacking #bezpieczenstwo #niebezpiecznik

sorhu

30.03.2017, 08:44:08 via Android

@niebezpiecznik-pl
Kraść też nie wolno, a ludzie kradną!

tfbeen

30.03.2017, 09:20:41 via iOS

@niebezpiecznik-pl: to samo usłyszałem od swojego dostawcy internetu, od kilku lat można podglądnac kwotę zadłużenia innego użytkownika ;p

e.....n

konto usunięte 30.03.2017, 09:25:09

@niebezpiecznik-pl: oczywiście polisa passata :D

niebezpiecznik-pl

30.03.2017, 10:01:52 via iOS

@entaroadun: w tedeiku!

ZasilaczKomputerowy

30.03.2017, 10:30:30

nie wolno zmieniać parametrów w URL

@niebezpiecznik-pl: xDDDDDDDDDDD

Ale tak serio jest na to jakiś paragraf?

BTW debile nie mają tam jakiegoś CRUDa zaimplementowanego tylko sypią dostępami do dowolnych formularzy? Kto tam pracuje.

bacanahali

30.03.2017, 10:48:07 via iOS

@niebezpiecznik-pl: zgłosił na ogólny mail, a tam siedział ktoś z BOK, kompletnie nie takimi tematami się trudniący. Ja ostatnio T-M Bankowe napisałem, ze w aplikacji mobilnej można uaktualnić numer dokumentu tożsamości razem z data ważności, wiec jak się pomylę w dacie i zapisze to potem nie mam możliwości zmiany samej daty i jest to uciążliwe (mogę albo kombinować z innym numerem dowodu czyli szukać po sieci generatora, bo suma kontrolna ma

Wychwalany

30.03.2017, 11:28:07

nie wolno zmieniać parametrów w URL!

@niebezpiecznik-pl: faktycznie, to działa xD

http://www.wykop.pl/mikroblog/hot/ostatnie/3/ gorące 3h
http://www.wykop.pl/mikroblog/hot/ostatnie/2/ gorące 2h
http://www.wykop.pl/mikroblog/hot/ostatnie/1/ gorące 1h

Dimetox

30.03.2017, 11:48:12 via Android

@Wychwalany u korwa ale odkrycie

K_R_S

30.03.2017, 11:58:55 via Android

@niebezpiecznik-pl wina złego przeszkolenia konsultantow telefonicznych - podejrzeniom błędu powinien być nadawany specjalny priorytet niezależnie czy konsultant go rozumie czy nie. no ale jednak in the end happy end

@niebezpiecznik-pl:

Tzw. enumeracja parametru, to jeden z podstawowych błędów

#!$%@?, serio?
Jak miałem osiemnaście lat i pisałem gówno-stronkę, to wpadłem na to że podając linki z numeracją należy dodać jakąś "sól" aby ktoś nie zmienił liczby w linku i dostał obce dane. I nikt mi nie musiał o tym mówić bo to oczywiste.
Widać dla Millenium pracują małpy...

CoYoT

joyko

01.04.2017, 18:52:07

Komentarz usunięty przez moderatora

niebezpiecznik-pl

02.04.2017, 05:37:30 via iOS

@joyko: nie jest to powazny blad, ale w przypadku bankowosci stara sie i tak zapobiegac takiemu dzialaniu serwisu, aby nawet maloprawdopodobne ataki ograniczac

Aktywne Wpisy

cambiasso

cambiasso +592

5 godz. i 40 min temu

#tvpis #bekazpisu #polityka

PANIE POŚLE PROSZE ZOSTAĆ

Arthasss

Arthasss +565

5 godz. i 11 min temu

I właśnie to jest sposób na Pis. Walić codziennie kto ile zarabiał. Ja #!$%@?ę. Adamczyk 187 000 miesięcznie, mając jednocześnie i etat i umowa b2b, po to by kręcić lody na podatku dochodowym i omijać regulacje wewnętrzne spółek państwowych. To się w pale nie mieści. Skoro on tyle zarabiał to ile Kurski zarabiał ?

Skoro takie cyrki się #!$%@?ły to co ciekawego dzieje się w Orlenie, PGE itp, gdzie wiadomo że wały

Aktywne Wpisy

Aktywne Znaleziska

Donald Tusk zabrał głos i zaczęło się rozczarowanie. Burza na granicy z Ukrainą

Dobrowolność według posła Lewicy

Szok po ujawnieniu zarobków gwiazd TVP. "Na grubym maśle"

Zarząd Enei zamierza pozwać były zarząd i radę nadzorczą Enei za Ostrołękę.

Większość Fat Influencer-ów już nie żyje. Zmarli przed 40-ką.

Popularne tagi