Strona domowa GDR!a Tor Hidden Service

V 3.8

Nawigacja: Strona Glowna | Software | Teksty | Strony | Autor | Kontakt | RSS | Atom | CIASTKA


mBank mobile

(20. 10. 2005)

Hmm, czyzby sposob na "darmowe" doladowanie sobie komorki? Na stronach mBanku (http://www.mbank.com.pl/) można doładować sobie komórkę za pomocą usługi mTransfer. Wybór numeru telefonu, na który przelewamy pieniądze, oraz wartość "zdrapki" wybierane są w połączeniu nieszyfrowanym, oraz przez takowe połączenie wysyłane z powrotem (http://www.mbank.com.pl/mobile/pop.html?phone=502866659&amount=25&oper=pop&option=&subm=Doladuj&mode=3&command=CHECK&url=mobile%2Fpop.html), skąd następuje potem redirect do połączenia szyfrowanego. Nigdzie (prócz adresu URL w pierwszej szyfrowanej stronie, na którą jesteśmy przekierowani - kto normalny na to patrzy?) nie jest podany numer telefonu w postaci czytelnej dla użytkownika. Owszem, łańcuch zawierający numer telefonu pojawia się przy ostatnim kroku dokonywania przelewu, ale rzeczą wątpliwą jest, czy użytkownik zwróci na to uwagę - nie jest w żaden sposób wyróżniony.




Tytuł:


ORANGE_P 


502866659 ID:05102323232P

Gdzie więc błąd? Złośliwy komputer w sieci może zmienić żądanie HTTP GET wygenerowane przez przeglądarkę podmieniając numer telefonu, a nieświadomy niczego użytkownik dokona przelewu nie wiedząc, że numer został zmieniony.


Sposoby usunięcia? Najlepiej byłoby dokonywać całej operacji wyboru nr telefonu do doładowania w połączeniu szyfrowanym, ewentualnie jako rozwiązanie chwilowe można wyróżnić wizualnie numer w którymś z kroków przeprowadzanych w połączeniu szyfrowanym, i poprosić użytkownika o weryfikację.

(komentarzy: 11, ostatni: 10. 06. 2013 - 23:01:49 - 1) Skomentuj
Wyswietlen: 3405, komentarzy: 11 Feed z komentarzami


Imię: GDR! (20. 10. 2005 - 15:00:23)

Treść:
Acha, mBank juz powiadomiony - formularz kontaktowy byl dla odmiany szyfrowany ;)


Imię: GDR! (20. 10. 2005 - 15:14:57)

Treść:
LOL!

Dziękujemy za wiadomość: [mBank] Strony WWW: Dziura w mBank mobile

Przewidywany czas odpowiedzi wynosi 12 godzin.

Wiadomość została wygenerowana automatycznie, prosimy na nią nie odpowiadać.


Imię: reve (20. 10. 2005 - 17:25:50)

Treść:
LOL! ciekwe czy w ogóle odpiszą? a jeśli tak to czy poprawią dziurę?


Imię: ill (20. 10. 2005 - 19:07:05)

Treść:
jezusmaria ty mnie neistarsz. jak twój opis na gg zobaczyłam ,to sie pzreraziłam o moje oszczędności! draniu


Imię: Murdock (20. 10. 2005 - 19:17:46)

Treść:
napisalbys jak sobie doladowac konto za darmo a nie marudzisz :-)


Imię: KRiszO (21. 10. 2005 - 00:45:50)

Treść:
Szyfrujmy szyfrujmy. Nie lepiej iść na łąkę latem?


Imię: lopes (07. 12. 2006 - 17:35:57)

Treść:
nic w tej sprawie nie zrobili mbank wspiera szara sieć.


Imię: vIlLLeVfPoIsznEmqV (21. 08. 2012 - 06:34:12)

Treść:
Indra Awasthi ji aur Atul ji,Sun rahe hain ki naahi Agar sun nahin rahe to parh leejiye Indar jee, aapse hamraa request hai ki ek baar phir se blaag writing start keejiye.Aa aapka writing ka only some part padh kar jo good feeling hua hai, usko describe karna badai mushkil hai.Ek baar again start keejiye..Please.Anup Bhaiya,Bahut-bahut dhanyawaad inse parichay karaane ke liye.


Imię: -1' (10. 06. 2013 - 23:01:47)

Treść:
1


Imię: 1 (10. 06. 2013 - 23:01:49)

Treść:
1
Sblam! Antyspam
URL encoded in QR Code Statystyki:

Email
Comments