Websecurity - Веб безпека

21.03.2009

У травні, 02.05.2008, я знайшов нові Cross-Site Scripting та Information Leakage уразливості на http://www.privatbank.ua - сайті ПриватБанка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно банка ПриватБанк раніше я вже писав про уразливості на www.privatbank.ua та уразливості на www.blog.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.06.2009

XSS:

• alert(document.cookie)
• цікавий
• html включення

Information Leakage:

http://www.privatbank.ua/info/index1.stm?url=/info/menu/vyvod.ssc
http://www.privatbank.ua/info/index1.stm?url=/info/menu/listitems.ssc

На даних та на багатьох інших сторінках сайта в коді сторінки (в коментарях) виводиться важлива інформація про БД. Зокрема ім’я сервера, ім’я бази даних та логін.

Дані уразливості досі не виправлені.

This entry was posted on 20:03 22.06.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.