Нові уразливості на www.privatbank.ua

20:03 22.06.2009

21.03.2009

У травні, 02.05.2008, я знайшов нові Cross-Site Scripting та Information Leakage уразливості на http://www.privatbank.ua - сайті ПриватБанка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно банка ПриватБанк раніше я вже писав про уразливості на www.privatbank.ua та уразливості на www.blog.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.06.2009

XSS:

Information Leakage:

http://www.privatbank.ua/info/index1.stm?url=/info/menu/vyvod.ssc
http://www.privatbank.ua/info/index1.stm?url=/info/menu/listitems.ssc

На даних та на багатьох інших сторінках сайта в коді сторінки (в коментарях) виводиться важлива інформація про БД. Зокрема ім’я сервера, ім’я бази даних та логін.

Дані уразливості досі не виправлені.


Leave a Reply

You must be logged in to post a comment.