Уразливості на www.kontrakt.ua
15:21 16.06.201109.10.2010
У червні, 22.06.2010, я знайшов Cross-Site Scripting та SQL DB Structure Extraction уразливості на http://www.kontrakt.ua - сайті банку Контракт. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.privatbank.ua.
Детальна інформація про уразливості з’явиться пізніше.
16.06.2011
XSS:
http://www.kontrakt.ua/index.php?pages='&language=%3Cscript%3Ealert(document.cookie)%3C/script%3E
Та три інші XSS, що є в Martinweb CMS.
SQL DB Structure Extraction:
http://www.kontrakt.ua/index.php?pages=’
Зараз дані уразливості вже виправлені. Адміни замінили одну діряву CMS на іншу CMS (менш діряву, але в ній також є дірки).