Уразливості на www.privatbank.ua

19:22 12.11.2008

01.05.2008

У жовтні, 11.10.2007, я знайшов Cross-Site Scripting, Abuse of Functionality та Information Leakage уразливості на сайті http://www.privatbank.ua. Про що найближчим часом сповіщу адміністрацію сайта банка.

В своєму виступі в телепередачі на Інтері, я розповідав про загрози фішингу, і користувачі банківських сайтів (особливо тих, що мають уразливості) є в групі найбільшого ризику. Раніше я вже писав про уразливість на сайті одного українського банку.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.11.2008

XSS:

Дану уразливість ПриватБанк виправив, але інші виправляти не став.

Abuse of Functionality:

http://www.privatbank.ua/info/search/searchresult.stm?mode=name&title=*****
http://www.privatbank.ua/info/search/searchresult.stm?mode=name&title=

Дані запити призводять до перенавантаження сервера.

Information Leakage:

http://www.privatbank.ua/info/index1.stm?fileName=d2_2_1a_5_1r.html

На даній та на деяких інших сторінках сайта в коді сторінки (в коментарях) виводиться важлива інформація про БД. Зокрема ім’я сервера, ім’я бази даних та логін.

Дані уразливості досі не виправлені.


2 відповідей на “Уразливості на www.privatbank.ua”

  1. trovich каже:

    Напиши чи закінчиться чимось твій діялог з цим йобнутим-з-точки-зору-іт банком.

  2. MustLive каже:

    Обов’язково напишу про те, чи виправили уразливості (яких там багато, бо окрім згаданих в даному пості я ще пізніше знайшов нові дірки, а коли писав даний пост знайшов ще нові дірки), коли буду писати детальну інформацію. І в коментарях, при необхідності, напишу щодо діалогу з даним банком.

    Зазначу, що раніше я писав про уразливість на http://www.agrobank.com.ua. І даний банк зовсім не відповів на моє повідомлення і дірку так і не виправив. Тому в плані дірок на сайтах, невдячності мені за турботу про їх безпеку і не виправляння уразливостей, українські банки не визивають позитивних емоцій.

Leave a Reply

You must be logged in to post a comment.