Нові уразливості на www.vab.ua
23:52 21.10.201111.03.2011
У січні, 15.01.2011, а також додатково сьогодні, я знайшов Cross-Site Scripting та Brute Force уразливості на http://www.vab.ua - сайті VAB Банка. Та на https://banking.vab.ua - сервісі Інтернет-банкінгу VAB Банка. Про що найближчим часом сповіщу адміністрацію сайтів.
Раніше я вже писав про уразливості на www.vab.ua.
Детальна інформація про уразливості з’явиться пізніше.
21.10.2011
XSS:
Код виконається при кліку. Це Strictly social XSS.
Це уразливість в b-cumulus - у флешці з цього віджету, який використовується на сайті VAB Банка (що являє собою модифіковану версію tagcloud.swf розроблену автором WP-Cumulus).
Brute Force:
https://banking.vab.ua
https://banking.vab.ua/Demo/Default.aspx
Дані уразливості досі не виправлені.
Субота, 16:42 12.03.2011
Доброго дня!
Велике прохання всі ваші роздуми на дану тему направити за адресою:o.vlasenko@vab.ua. Дякуємо!
З повагою,
VAB Банк
Субота, 20:05 12.03.2011
Олена
Свої листи з детальною інформацією про ці та попередні уразливості на сайті вашого банку я вислав на офіційний емайл, що вказаний на сайті.
У випадку, якщо ваші співробітники (що читають пошту на тому ящику) скромно “забули” повідомити вам про це, то я перешлю обидва моїх листи на ваш емайл.