« CSRF уразливості в ADSL модемі Callisto 821+
Уразливості безпеки в Python »

Нові уразливості на www.privatbank.ua

16:07 28.05.2011

22.09.2010

У травні, 18.05.2010, я знайшов нові Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.privatbank.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливість на www.danielbank.kiev.ua. А стосовно ПриватБанка раніше я вже неоднаразово писав про уразливості на www.privatbank.ua та інших сайтах даного банка.

Детальна інформація про уразливості з’явиться пізніше.

28.05.2011

XSS:

Ці дві уразливості вже виправлені. Але друга XSS (на conveyor.privatbank.ua) виправлена погано, тому при невеликій зміні коду вона знову працює.

XSS (з MouseOverJacking):

Insufficient Anti-automation:

http://conveyor.privatbank.ua/index.cgi?do=add_error_info&id=1

З даних трьох уразливостей дві досі не виправлені. В даному випадку ПриватБанк повів себе як завжди ламерським чином - спочатку проігнорував і не відповів мені, а потім втихаря виправив дві дірки, причому другу неякісно. Типова ламерська поведінка ПБ.


This entry was posted on 16:07 28.05.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

6 відповідей на “Нові уразливості на www.privatbank.ua”

  1. Павел каже:
    Четвер, 17:21 23.09.2010

    Сегодня как раз писал у себя в блоге про ПриватБанк:
    http://galeta-pavel.livejournal.com/15386.html

  2. РУДИМЕНТ каже:
    Четвер, 17:50 23.09.2010

    У привата вообще дыр много такого плана, но как-то они не обращают все равно особо на это внимания увы

  3. MustLive каже:
    Понеділок, 00:11 27.09.2010

    Павел

    Вижу у тебя возникли проблемы при работе с ПриватБанком. Не у тебя одного они имели место :-) . Не раз доводилось слышать недовольствие людей от ПБ и сам не раз сталкивался с проблемами с ними, в частности при работе с их системой LiqPAY. Так что несерьёзности у них хватает - это при “обычной” работе, не говоря уже про безопасность.

  4. MustLive каже:
    Понеділок, 00:17 27.09.2010

    У привата вообще дыр много такого плана

    У них и не такого плана дыр хватает ;-) . Про уязвимости, которые я нашёл в прошлом году, которые позволили мне получить полный доступ к серверу, я вообще в новостях писать не буду.

    Дыр у них более чем хватает (как и у многих e-commerce сайтов) - на различных сайтах ПБ - но в 100% случаев они игнорировали все мои уведомления (лишь в очень редких случаях я замечал, что они исправляли уязвимости на своих сайтах). А им, как и всем банкам, стоит исправлять все дыры. И чем раньше они начнут это делать, в том числе исправлять XSS та IAA уязвимости, тем лучше будет для них и их клиентов.

  5. Dementor каже:
    Субота, 23:15 28.05.2011

    Повний доступ до сервера? Ти про той php include говориш, що там був, чи про щось інше?

  6. MustLive каже:
    Неділя, 23:58 29.05.2011

    Це лише XSS та IAA дірки. Але з XSS потенційно можна і доступ до адмінки отримати, звідки отримати й повний доступ до сервера ;-) .

    В них дірок на сайтах вистачає, в тому числі є й критичні. В даному випадку це некритичні уразливості, які також треба виправляти, з чим вони традиційно не впоралися.

Leave a Reply

You must be logged in to post a comment.