MiG Telecom
Уезжая в отпуск поставил блокировку на домашнем интернете (безлимитка), как вы уже догадались пров - Миг Телеком.
Вернулся блокировка еще не снята, соответственно инет отсутствует, а мозг уже требует пищи и руки чешутся
Естествено есть доступ к страничке прова
mig-telecom.ru и в личный кабинет, вообщем решил поиграться и вот что обнаружил:
Если зайти в личку в раздел статистика и выбрать просмотр статы за день, то в GET-параметре
contract можно изменить номер контракта со своего на любой другой(естествено существующий), т.е. мы можем по дням просмотреть чужой лицевой счет.
Пример:
Код:
https://auth.mig-telecom.ru/user/auth/stat.cgi?action=view_daily_stat&contract=34013&date=2007-07-08&account_type=RUR
В общем на лицо раскрытие конф. данных
По сути не к чему серьезному оное не приведет, но все-таки бага так же затрагивает и меня, поэтому думаю в ближайшее время отпишу в сапорт =)
ЗЫ
Особо не копал возможно наличие инъекции.
ЗЗЫ
Отписал в сапорт.