Уразливості на www.vab.ua

23:51 20.10.2011

02.03.2011

У січні, 15.01.2011, я знайшов Cross-Site Scripting уразливості на http://www.vab.ua - сайті VAB Банка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.kontrakt.ua.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2011

XSS:

Як видно з наведених прикладів, уразливими є будь-які параметри (в тому числі і довільні придумані параметри, що безпосередньо не обробляються скриптом пошуку - як параметр “a”). Що призводить до появи на даному сайті довільного числа уразливостей (у довільному числі параметрів) у пошуковому скрипті, хоч мільярда уразливостей. Про подібні нескінченні дірки я писав торік у своїй статті Як знайти мільярд XSS уразливостей.

Дані уразливості досі не виправлені.


2 відповідей на “Уразливості на www.vab.ua”

  1. илья каже:

    Банковские скряги всегда экономят на админах. А на нормальных секьюрити-специалистах и подавно.

  2. MustLive каже:

    Илья

    В этом ты прав и об этом я и сам говорил ранее - на страницах своего сайта и в своём третьем выступлении в новостях на ТВ (на 1+1). Банки, как и большинство других е-комерс проектов, не говоря о всех остальных веб проектах, традиционного экономят на безопасности. А многие банки вообще забивают на безопасность (и о таких дырявых сайтах я писал в новостях), что приводит к взломам их сайтов.

    Тем не менее, у меня были клиенты-банки, которые заказывали аудит. Причём обращавшихся за аудитом банков было больше, чем тех, кто реально стал клиентом, т.к. многие из них всё равно продолжали экономить (и передумывали), даже после принятия решения о необходимости аудита сайта :-) . Т.к. они больше на словах заботятся о безопасности, чем реально вкладывают деньги в безопасность.

Leave a Reply

You must be logged in to post a comment.