Уразливості на www.alfabank.com.ua

23:55 15.11.2011

13.07.2011

У липні, 07.07.2010, я знайшов Full path disclosure та Cross-Site Scripting уразливості на http://www.alfabank.com.ua - сайті Альфа-Банка. Про що найближчим часом сповіщу адміністрацію сайта. Причому минулого літа я звертав увагу представників банку, що на даному сайті багато дірок, але вони так і не виправили їх (ні вищезгаданих дірок, ні інших) і не почали слідкувати за безпекою власних сайтів.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.vab.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.11.2011

Full path disclosure:

http://www.alfabank.com.ua/ukr/vacancy/9/183/1

http://www.alfabank.com.ua/inc/vacancy.inc.php

XSS:

Окрім параметра query також уразливі будь-які параметри в пошуковому скрипті. Це призводить до появи на сайті довільного числа уразливостей (в довільному числі параметрів), хоч мільярда XSS дірок.

Якщо FPD вже виправлені, то XSS уразливості досі не виправлені.


Leave a Reply

You must be logged in to post a comment.