Kategorie
Bezpieczeństwo Publicystyka

Usterka w serwisie transakcyjnym mBanku – zgłoszona i naprawiona

Tym razem historyjka krótka i z życia wzięta: znalazłem usterkę w serwisie transakcyjnym mBanku. Nie szukałem jej aktywnie, natrafiłem na nią podczas przeszukiwania historii operacji. Pamiętałem, że w przelewie, który chciałem powtórzyć, występował uśmieszek z dwukropka, minusa i nawiasu, więc taki ciąg znaków wpisałem w pole wyszukiwania operacji. Po sekundzie od wpisania ostatniego znaku startowało automatyczne podpowiadanie, z którego byłem natychmiast wyrzucany na następującą stronę:

Komunikat błędu sugeruje usterkę klasy input validation, najwyraźniej wpisywany przeze mnie tekst był interpretowany przez mechanizm wyszukiwania jako część wyrażenia regularnego, tymczasem powinien być traktowany literalnie jako tekst wzorcowy. Nie próbowałem eksplorować błędu, bo ewentualna blokada podstawowego konta bankowego byłaby dla mnie problematyczna. Zamiast tego napisałem do zespołu bezpieczeństwa instrukcję odtworzenia błędu: