Уразливість на kyiv.ukrtelecom.ua
23:51 18.02.201226.01.2010
У червні, 19.06.2009, я знайшов SQL Injection уразливість на http://kyiv.ukrtelecom.ua - сайті Київської міської філії ВАТ “Укртелеком”. Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливість на www.kyiv.ukrtelecom.ua.
Детальна інформація про уразливість з’явиться пізніше.
18.02.2012
SQL Injection:
http://kyiv.ukrtelecom.ua/webparts/search?ul=’)%20or%201=1–&q=1
В себе на сайті Укртелеком використовує СУБД Oracle.
Дана уразливість вже виправлена, але виправляли вони дуже довго. Що типово для даної компанії (добре що врешті виправили, бо вони це роблять не завжди). При наявності дірок на сайтах Укртелекому, особливо SQL ін’єкцій, зовсім не дивують витоки персональної інформації про клієнтів компанії, що регулярно трапляються.