Численні уразливості в IFOBS

23:54 14.09.2012

29.05.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Brute Force та Cross-Site Scripting. Це перша порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

14.09.2012

Це перші 38 уразливостей в IFOBS: 2 BF та 36 XSS.

Brute Force (WASC-11):

В формі логіна http://site/ifobsClient/loginlite.jsp відсутній захист від підбору пароля (капча).

В формі логіна http://site/ifobsClient/loginsecurity.jsp відсутній захист від підбору пароля (капча).

Cross-Site Scripting (WASC-08):

POST запит на сторінці http://site/ifobsClient/regclientprint.jsp в параметрах: secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, nationality, passportSerial, passportNumber, passportIssueAgency, PassportDay, PassportMonth, PassportYear, tempDocSerial, tempDocNumber, DocDay, DocMonth, DocYear, idCodeNumber, idCodeRegPlace, CodeRegDay, CodeRegMonth, CodeRegYear, phone, email, pmcountry, pmnumber, keyword, bankOblastSelect, bankCitySelect, bankRegionSelect, bankDepSelect, bankAddress, bankContacts.

Експлоіти для перших п’яти уразливостей (в параметрах secondName, firstName, thirdName, BirthDay, BirthMonth):

IFOBS XSS-1.html

IFOBS XSS-2.html

IFOBS XSS-3.html

IFOBS XSS-4.html

IFOBS XSS-5.html

Розробники системи проігнорували і не виправили дані уразливості.


Leave a Reply

You must be logged in to post a comment.