Уразливості на forum.ua
23:54 13.02.201314.06.2012
У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://forum.ua - сайті банка Форум (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на alfabank.com.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
13.02.2013
BF + XSS + CSRF:
Всі зазначені уразливості знаходиться в клієнт-банкінгу банка Форум. Всього 109 уразливостей в системи IFOBS.
https://ifobs.forum.ua/ifobsClient/
Дані уразливості досі не виправлені.
Четвер, 19:42 14.02.2013
Я їм давно вже також відписувався на рахунок вразливостей, їм пофіг
Четвер, 21:03 14.02.2013
Так, повністю ігнорують і дірки, і листи з інформуванням про вразливості на їхніх сайтах. Це дуже поширено серед банків
, я багато таких нігілістів зустрічав. Але іноді трапляються і більш серйозні банки, які іноді вкладають гроші в аудити безпеки.
Але все ж недостатньо (бо полюбляють вони економити, навіть якщо і роблять вигляд, що безпека для них важлива). Бо і сайтів більше, і самі сайти можна перевіряти більш детально, а не лише зовнішню частину - як в більшості випадків замовляють мої клієнти, в тому числі й банки, намагаючись таким чином зекономити. Було в мене пару клієнтів банків, в тому числі уразливості в IFOBS я знайшов саме під час аудиту сайтів клієнта.