Численні уразливості в IFOBS
23:54 14.09.201229.05.2012
У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Brute Force та Cross-Site Scripting. Це перша порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.
14.09.2012
Це перші 38 уразливостей в IFOBS: 2 BF та 36 XSS.
Brute Force (WASC-11):
В формі логіна http://site/ifobsClient/loginlite.jsp відсутній захист від підбору пароля (капча).
В формі логіна http://site/ifobsClient/loginsecurity.jsp відсутній захист від підбору пароля (капча).
Cross-Site Scripting (WASC-08):
POST запит на сторінці http://site/ifobsClient/regclientprint.jsp в параметрах: secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, nationality, passportSerial, passportNumber, passportIssueAgency, PassportDay, PassportMonth, PassportYear, tempDocSerial, tempDocNumber, DocDay, DocMonth, DocYear, idCodeNumber, idCodeRegPlace, CodeRegDay, CodeRegMonth, CodeRegYear, phone, email, pmcountry, pmnumber, keyword, bankOblastSelect, bankCitySelect, bankRegionSelect, bankDepSelect, bankAddress, bankContacts.
Експлоіти для перших п’яти уразливостей (в параметрах secondName, firstName, thirdName, BirthDay, BirthMonth):
Розробники системи проігнорували і не виправили дані уразливості.
