Уразливості на www.blog.privatbank.ua
19:34 19.05.200918.12.2008
У лютому, 05.02.2008, я знайшов Insufficient Anti-automation уразливість, а з часом також Cross-Site Request Forgery, SQL Injection та Cross-Site Scripting уразливості на сайті http://www.blog.privatbank.ua (блог ПриватБанка). Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно банка ПриватБанк раніше я вже писав про уразливості на www.privatbank.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
19.05.2009
На сайті використовується плагін CapCC для WordPress, про уразливості в якому я вже розповідав.
На даному сайті є наступні уразливості (в плагіні CapCC): Insufficient Anti-automation, Cross-Site Request Forgery, SQL Injection та Cross-Site Scripting (reflected та persistent).
Дані уразливості досі не виправлені. Що традиційно для ПриватБанка.
Четвер, 08:57 21.05.2009
Я в цьому банці гроші тримаю, тому його можуть зломати ти викрасти наші данні.
Четвер, 23:56 21.05.2009
Я в ПриватБанку грошей не тримаю, для цього користуюся послугами інших банків. В тому числі тих, хто більше слідкує за безпекою власних сайтів .
ПриватБанк слідкує за безпекою власних сайтів достатньо погано, на мої листи з повідомленнями про уразливості на їхніх сайтах жодного разу не відповів, дірки або не виправляє, або виправляє лише деякі. Тому, Сергію, тобі варто замислитися в якому банку тримати свої гроші.
В даному випадку вони не виправили жодної уразливості. Тому їх сайт цілком можуть взломати - можуть похакати даний блог на WordPress, а потім з нього дістатися й інших сайтів банку.
Про безпеку сайтів банків та атаки на дані сайти я розповідав в своєму другому і третьому виступі на ТБ.