Преди точно месец се свързах със хостинг провайдера ICN за да го информирам за намерената уязвимост във формата им за вход, като за целта всъщност писах на техния съппорт.
Проблемът се състой в това, че е възможно да източиш лична информация за потребителя на който е акаунта. Става дума за следната форма за вход:
https://www.icn.bg/bg/login
Първо на първо аз съм объркан като заредя формара и се показва следния текст
„Влезте в профила си или се Регистрирайте като въведете потребителското си име.“ и от долу в полето като placeholder е поствен „Вашето потребителско име“. Добре щом искат потребителско име нека го въведем, пишем примерно „martin“ давам вход и виждам следното:
казвам си супер и снимка съм сложил, да ама не. Не знам кой е Мартин, интересно е, че и снимка си има та знам как изглежда. Добре да пробвам някой друг:
Пишем „petkov“ тук вече виждаме и инициали ГП кой ли е г ем то си пише Генчо П. всеки може да се сети.
И тук идва и куриоза пишем някой мейл който е оставен за контакт му излизат инициалите. А лесно можем да проверим дали е реален, просто отиваме в gmail и почваме да му пишем мейл и там се показва и снимка и дали е валиден и така.
От ICN все още не са предприели мерки за отстраняването на проблема, аз като техен клиент не желая някой да ми разкрие всички лични данни заради зле написана форма. Те ме информираха, че предстой ъпдейт но това преди месец, проблема все още съществува.