Websecurity - Веб безпека

Раніше я вже багато разів, починаючи з 2007 року, розповідав про уразливості на сайтах Укртелекома, а також в їхніх Інтернет і телекомунікаційних послугах та в модемах Callisto, що він видає своїм клієнтам. Який був моїм Інтернет провайдером на протязі 2007-2011 років. І от на початку травня я змінив провайдера на Bilink, який, як виявилося, також погано слідкує за безпекою власних сайтів.

У травні, 07.05.2011, одразу ж як підключився до них, я знайшов Insufficient Authentication, Abuse of Functionality та Brute Force уразливості на сайті https://my.bilink.ua. Про що ще в травні повідомив даному провайдеру.

Insufficient Authentication:

При спеціальному запиті можлива зміна паролю довільному акаунту (де xxxxxxx - це логін).

https://my.bilink.ua/userLogin?dogovor=xxxxxxx&first_enter=1

Abuse of Functionality:

https://my.bilink.ua/userLogin?dogovor=xxxxxxx&first_enter=1

Можна виявляти робочі логіни в системі (якщо виводить “Ваш аккаунт не підключений”, значить такого логіна немає в системі, а якщо пароль змінився, значить є такий логін).

Brute Force:

https://my.bilink.ua/userLogin

Перші дві уразливості вже виправлені, але BF досі не виправлена.

This entry was posted on 23:54 12.07.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.