Moonpig는 영국의 유명한 인사말 카드 회사입니다. 자신의 서비스를 사용하여 개인화 된 인사 장을 친구 및 가족에게 보낼 수 있습니다. [Paul]은 약간의 파기를하기로 결정하여 Moonpig Android App와 해당 API 간의 몇 가지 보안 취약점을 발견했습니다.
우선 [PAUL]은 시스템이 기본 인증을 사용하고 있음을 알아 차렸다. 이것은 이상적이지는 않지만 회사는 적어도 SSL 암호화를 사용하여 고객 자격 증명을 보호했습니다. 인증 헤더를 디코딩 한 후 [Paul]은 이상한 것을 알아 차렸다. 각 요청과 함께 전송되는 사용자 이름과 암호는 자신의 자격 증명이 아니 었습니다. 그의 고객 ID가 거기에 있었지만 실제 자격 증명은 잘못되었습니다.
[Paul]은 새 계정을 만들었고 자격 증명이 동일한 것을 발견했습니다. 고객 ID를 두 번째 계정의 HTTP 요청에서 수정하면 웹 사이트를 첫 번째 계정의 저장된 모든 주소 정보를 펴게 해결할 수있었습니다. 이것은 본질적으로 모든 인증이 없었습니다. 모든 사용자가 다른 사용자를 가장 할 수 있습니다. 주소 정보를 당기는 것은 큰 거래처럼 들리지 않을 수 있지만 [Paul]은 모든 API 요청이 이와 같지 않다고 주장합니다. 이것은 당신이 동의없이 다른 고객 계정에 명령을 배치 할 수있는 것처럼 갈 수 있다는 것을 의미합니다.
[Paul] Moonpig의 API 도움말 파일을 사용하여 더 흥미로운 방법을 찾습니다. 그에게 섰던 것은 GetCreditCardDetails 방법이었습니다. [Paul]은 촬영을 주었고, 시스템이 카드, 만료일 및 카드와 관련된 이름의 마지막 4 자리 숫자를 포함하여 신용 카드 세부 정보를 쏟아 냈습니다. 그것은 완전한 카드 숫자가 아닐 수도 있지만 이것은 분명히 꽤 큰 문제가 즉시 수정 될 것입니다 … 오른쪽?
[Paul]은 2013 년 8 월에 Moonpig에 책임감있게 책임감있게 공개되었습니다. Moonpig는 레거시 코드로 인한 문제가 있으며 즉시 수정 될 것임으로써 응답했습니다. 1 년 후 [Paul]은 달뚝으로 뒤를 쫓아 냈습니다. 그는 크리스마스 전에 그것이 해결되어야한다고 들었습니다. 2015 년 1 월 5 일 에이 취약점이 여전히 해결되지 않았습니다. [Paul]은 충분히 충분하다고 결정했고, 그는 그 문제를 누르기 위해 온라인 결과를 온라인으로 게시 할 수도 있습니다. 그것은 일한 것 같습니다. Moonpig는 이후 API를 장애로써 “모든 암호 및 지불 정보가 항상 안전하다고 주장한다고 주장하는 Twitter를 통해 진술을 발표했습니다. 그것은 훌륭하고 모든 것이지만 암호가 실제로 중요한 경우 조금 더 많은 것을 의미합니다.