Нові уразливості на www.vab.ua

23:52 21.10.2011

11.03.2011

У січні, 15.01.2011, а також додатково сьогодні, я знайшов Cross-Site Scripting та Brute Force уразливості на http://www.vab.ua - сайті VAB Банка. Та на https://banking.vab.ua - сервісі Інтернет-банкінгу VAB Банка. Про що найближчим часом сповіщу адміністрацію сайтів.

Раніше я вже писав про уразливості на www.vab.ua.

Детальна інформація про уразливості з’явиться пізніше.

21.10.2011

XSS:

Код виконається при кліку. Це Strictly social XSS.

Це уразливість в b-cumulus - у флешці з цього віджету, який використовується на сайті VAB Банка (що являє собою модифіковану версію tagcloud.swf розроблену автором WP-Cumulus).

Brute Force:

https://banking.vab.ua
https://banking.vab.ua/Demo/Default.aspx

Дані уразливості досі не виправлені.


2 відповідей на “Нові уразливості на www.vab.ua”

  1. VAB Банк каже:

    Доброго дня!
    Велике прохання всі ваші роздуми на дану тему направити за адресою:o.vlasenko@vab.ua. Дякуємо!
    З повагою,
    VAB Банк

  2. MustLive каже:

    Олена

    Свої листи з детальною інформацією про ці та попередні уразливості на сайті вашого банку я вислав на офіційний емайл, що вказаний на сайті.

    У випадку, якщо ваші співробітники (що читають пошту на тому ящику) скромно “забули” повідомити вам про це, то я перешлю обидва моїх листи на ваш емайл.

Leave a Reply

You must be logged in to post a comment.