Уразливості на incom.ua
17:23 10.12.201119.10.2011
У липні, 11.07.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://incom.ua - сайті секюріті компанії Інком. Про що вже попередньо повідомляв представникам компанії (але вони забили на ці дірки) і найближчим часом детально сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
Що цікаво, деякий час тому Інком завершив PCI DSS аудит сайта Альфа-Банка. При тому, що я ще торік знайшов численні дірки на www.alfabank.com.ua, про які неодноразово повідомляв представникам банка, але ні в минулому році, ні в цьому, вони так і не спромоглися виправити жодної дірки. Зате знайшли кошти на PCI DSS аудит . Зазначу, що навіть якщо вони виправлять дірки (виявлені в рамках PCI DSS аудиту) в своєму онлайн-банкінгу, все рівно залишиться можливість атак через головний домен, на якому багато уразливостей.
10.12.2011
XSS (для Mozilla та Firefox):
Brute Force:
http://incom.ua/administrator/
Дані уразливості досі не виправлені. Використавши Джумлу дирумлу на своєму сайті й при цьому не виправивши дірок в ній, Інком отримав чимало дірок (ці та інші уразливості). І встановлення WAF не виправило ситуації повністю, так як його, при бажанні, можна обійти, що я показав на прикладі цих двох дірок.
П'ятниця, 18:04 21.10.2011
инком никогда не была секьюрити конторой
Понеділок, 00:01 24.10.2011
Илья
Они уже несколько лет как секюрити контора. Тебе стоило почитать у них на сайте информацию о том, как они проводят аудиты и пентесты своим клиентам, и их статьи на данную тематику, где они демонстрируют свою позицию в этой сфере.
А также стоило почитать новости в Сети, где публикуется информация о том, как Инком проводит аудиты, в том числе PCI DSS аудиты (как в случае Альфа-Банка, о чём я планировал написать при публикации деталей, но раз тебе было интересно, то я уже добавил в текст записи), и участвует в различных секюрити конференциях.