Нові уразливості на www.privatbank.ua
16:07 28.05.201122.09.2010
У травні, 18.05.2010, я знайшов нові Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.privatbank.ua. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно уразливостей на сайтах банків останній раз я писав про уразливість на www.danielbank.kiev.ua. А стосовно ПриватБанка раніше я вже неоднаразово писав про уразливості на www.privatbank.ua та інших сайтах даного банка.
Детальна інформація про уразливості з’явиться пізніше.
28.05.2011
XSS:
Ці дві уразливості вже виправлені. Але друга XSS (на conveyor.privatbank.ua) виправлена погано, тому при невеликій зміні коду вона знову працює.
XSS (з MouseOverJacking):
Insufficient Anti-automation:
http://conveyor.privatbank.ua/index.cgi?do=add_error_info&id=1
З даних трьох уразливостей дві досі не виправлені. В даному випадку ПриватБанк повів себе як завжди ламерським чином - спочатку проігнорував і не відповів мені, а потім втихаря виправив дві дірки, причому другу неякісно. Типова ламерська поведінка ПБ.
Четвер, 17:21 23.09.2010
Сегодня как раз писал у себя в блоге про ПриватБанк:
http://galeta-pavel.livejournal.com/15386.html
Четвер, 17:50 23.09.2010
У привата вообще дыр много такого плана, но как-то они не обращают все равно особо на это внимания увы
Понеділок, 00:11 27.09.2010
Павел
Вижу у тебя возникли проблемы при работе с ПриватБанком. Не у тебя одного они имели место . Не раз доводилось слышать недовольствие людей от ПБ и сам не раз сталкивался с проблемами с ними, в частности при работе с их системой LiqPAY. Так что несерьёзности у них хватает - это при “обычной” работе, не говоря уже про безопасность.
Понеділок, 00:17 27.09.2010
У них и не такого плана дыр хватает . Про уязвимости, которые я нашёл в прошлом году, которые позволили мне получить полный доступ к серверу, я вообще в новостях писать не буду.
Дыр у них более чем хватает (как и у многих e-commerce сайтов) - на различных сайтах ПБ - но в 100% случаев они игнорировали все мои уведомления (лишь в очень редких случаях я замечал, что они исправляли уязвимости на своих сайтах). А им, как и всем банкам, стоит исправлять все дыры. И чем раньше они начнут это делать, в том числе исправлять XSS та IAA уязвимости, тем лучше будет для них и их клиентов.
Субота, 23:15 28.05.2011
Повний доступ до сервера? Ти про той php include говориш, що там був, чи про щось інше?
Неділя, 23:58 29.05.2011
Це лише XSS та IAA дірки. Але з XSS потенційно можна і доступ до адмінки отримати, звідки отримати й повний доступ до сервера .
В них дірок на сайтах вистачає, в тому числі є й критичні. В даному випадку це некритичні уразливості, які також треба виправляти, з чим вони традиційно не впоралися.