Уразливості на www.vab.ua
23:51 20.10.201102.03.2011
У січні, 15.01.2011, я знайшов Cross-Site Scripting уразливості на http://www.vab.ua - сайті VAB Банка. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.kontrakt.ua.
Детальна інформація про уразливості з’явиться пізніше.
20.10.2011
XSS:
- alert(document.cookie)
- alert(document.cookie)
- alert(document.cookie)
- alert(document.cookie)
- цікавий
- html включення
Як видно з наведених прикладів, уразливими є будь-які параметри (в тому числі і довільні придумані параметри, що безпосередньо не обробляються скриптом пошуку - як параметр “a”). Що призводить до появи на даному сайті довільного числа уразливостей (у довільному числі параметрів) у пошуковому скрипті, хоч мільярда уразливостей. Про подібні нескінченні дірки я писав торік у своїй статті Як знайти мільярд XSS уразливостей.
Дані уразливості досі не виправлені.
П'ятниця, 18:06 21.10.2011
Банковские скряги всегда экономят на админах. А на нормальных секьюрити-специалистах и подавно.
П'ятниця, 20:36 21.10.2011
Илья
В этом ты прав и об этом я и сам говорил ранее - на страницах своего сайта и в своём третьем выступлении в новостях на ТВ (на 1+1). Банки, как и большинство других е-комерс проектов, не говоря о всех остальных веб проектах, традиционного экономят на безопасности. А многие банки вообще забивают на безопасность (и о таких дырявых сайтах я писал в новостях), что приводит к взломам их сайтов.
Тем не менее, у меня были клиенты-банки, которые заказывали аудит. Причём обращавшихся за аудитом банков было больше, чем тех, кто реально стал клиентом, т.к. многие из них всё равно продолжали экономить (и передумывали), даже после принятия решения о необходимости аудита сайта . Т.к. они больше на словах заботятся о безопасности, чем реально вкладывают деньги в безопасность.