Уразливості на www.alfabank.com.ua
23:55 15.11.201113.07.2011
У липні, 07.07.2010, я знайшов Full path disclosure та Cross-Site Scripting уразливості на http://www.alfabank.com.ua - сайті Альфа-Банка. Про що найближчим часом сповіщу адміністрацію сайта. Причому минулого літа я звертав увагу представників банку, що на даному сайті багато дірок, але вони так і не виправили їх (ні вищезгаданих дірок, ні інших) і не почали слідкувати за безпекою власних сайтів.
Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.vab.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
15.11.2011
Full path disclosure:
http://www.alfabank.com.ua/ukr/vacancy/9/183/1
http://www.alfabank.com.ua/inc/vacancy.inc.php
XSS:
Окрім параметра query також уразливі будь-які параметри в пошуковому скрипті. Це призводить до появи на сайті довільного числа уразливостей (в довільному числі параметрів), хоч мільярда XSS дірок.
Якщо FPD вже виправлені, то XSS уразливості досі не виправлені.