MiG Telecom
Уезжая в отпуск поставил блокировку на домашнем интернете (безлимитка), как вы уже догадались пров - Миг Телеком.
Вернулся блокировка еще не снята, соответственно инет отсутствует, а мозг уже требует пищи и руки чешутся
Естествено есть доступ к страничке прова mig-telecom.ru и в личный кабинет, вообщем решил поиграться и вот что обнаружил:
Если зайти в личку в раздел статистика и выбрать просмотр статы за день, то в GET-параметре contract можно изменить номер контракта со своего на любой другой(естествено существующий), т.е. мы можем по дням просмотреть чужой лицевой счет.
Пример:
В общем на лицо раскрытие конф. данных
По сути не к чему серьезному оное не приведет, но все-таки бага так же затрагивает и меня, поэтому думаю в ближайшее время отпишу в сапорт =)
ЗЫ
Особо не копал возможно наличие инъекции.
ЗЗЫ
Отписал в сапорт.