興味深いのは、手紙のタイトルとメッセージのテキストを編集できることです。 サーバーに送信されたリクエストを調べて、領収書自体を送信するのではなく、手紙の件名とメッセージのテキストのみを送信することが可能であることに気付きました。
受信したリクエストの形式は次のとおりです。
https://my.alfabank.com.ua/report/email?id=&type=order&recipientEmail=your.email@gmail.com&subject=!!!&body= http://fakesite.com&next=
したがって、Alfa-Bankに代わってアドレスccd@alfabank.kiev.uaから任意のメールアドレスにレターを絶対に送信できることがわかりました。 私はすぐに銀行のセキュリティサービスに脆弱性について通知しましたが、残念ながら、2か月後、彼らはそれを排除するための対策を講じませんでした。 安心させる唯一のことは、最近、インターネットバンキングにSMSまたは電子メールによる2要素認証が導入されたため、ハッキングされたアカウントでこの脆弱性を悪用することがはるかに困難になったことです。
そして最後に、この機会を利用して、Iの誕生日を祝福しました。
