Уразливості на www.privatbank.ua
19:22 12.11.200801.05.2008
У жовтні, 11.10.2007, я знайшов Cross-Site Scripting, Abuse of Functionality та Information Leakage уразливості на сайті http://www.privatbank.ua. Про що найближчим часом сповіщу адміністрацію сайта банка.
В своєму виступі в телепередачі на Інтері, я розповідав про загрози фішингу, і користувачі банківських сайтів (особливо тих, що мають уразливості) є в групі найбільшого ризику. Раніше я вже писав про уразливість на сайті одного українського банку.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
12.11.2008
XSS:
Дану уразливість ПриватБанк виправив, але інші виправляти не став.
Abuse of Functionality:
http://www.privatbank.ua/info/search/searchresult.stm?mode=name&title=*****
http://www.privatbank.ua/info/search/searchresult.stm?mode=name&title=
Дані запити призводять до перенавантаження сервера.
Information Leakage:
http://www.privatbank.ua/info/index1.stm?fileName=d2_2_1a_5_1r.html
На даній та на деяких інших сторінках сайта в коді сторінки (в коментарях) виводиться важлива інформація про БД. Зокрема ім’я сервера, ім’я бази даних та логін.
Дані уразливості досі не виправлені.
П'ятниця, 17:10 02.05.2008
Напиши чи закінчиться чимось твій діялог з цим йобнутим-з-точки-зору-іт банком.
Понеділок, 23:11 05.05.2008
Обов’язково напишу про те, чи виправили уразливості (яких там багато, бо окрім згаданих в даному пості я ще пізніше знайшов нові дірки, а коли писав даний пост знайшов ще нові дірки), коли буду писати детальну інформацію. І в коментарях, при необхідності, напишу щодо діалогу з даним банком.
Зазначу, що раніше я писав про уразливість на http://www.agrobank.com.ua. І даний банк зовсім не відповів на моє повідомлення і дірку так і не виправив. Тому в плані дірок на сайтах, невдячності мені за турботу про їх безпеку і не виправляння уразливостей, українські банки не визивають позитивних емоцій.