MiG Telecom Уезжая в отпуск поставил блокировку на домашнем интернете (безлимитка), как вы уже догадались пров - Миг Телеком. Вернулся блокировка еще не снята, соответственно инет отсутствует, а мозг уже требует пищи и руки чешутся Естествено есть доступ к страничке прова mig-telecom.ru и в личный кабинет, вообщем решил поиграться и вот что обнаружил: Если зайти в личку в раздел статистика и выбрать просмотр статы за день, то в GET-параметре contract можно изменить номер контракта со своего на любой другой(естествено существующий), т.е. мы можем по дням просмотреть чужой лицевой счет. Пример: Code: https://auth.mig-telecom.ru/user/auth/stat.cgi?action=view_daily_stat&contract=34013&date=2007-07-08&account_type=RUR В общем на лицо раскрытие конф. данных По сути не к чему серьезному оное не приведет, но все-таки бага так же затрагивает и меня, поэтому думаю в ближайшее время отпишу в сапорт =) ЗЫ Особо не копал возможно наличие инъекции. ЗЗЫ Отписал в сапорт.
