Численні уразливості на kredobank.com.ua

23:51 13.06.2013

21.02.2013

У липні, 14.06.2012, я знайшов численні уразливості на http://kredobank.com.ua - сайті банка КРЕДОБАНК. Цього разу це Cross-Site Scripting та Insufficient Anti-automation дірки. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на kredobank.com.ua. Тоді дірки були в системі онлайн-банкінгу, а зараз на основному сайті банка.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.06.2013

XSS:

POST запит на сторінці http://kredobank.com.ua/executionsale_form.html
"><script>alert(document.cookie)</script>В параметрах: organization, contact, telefons, address, email, activity, stuff_type, stuff_subtype, placement.
</textarea><script>alert(document.cookie)</script>В параметрі information.

Insufficient Anti-automation:

На сторінці http://kredobank.com.ua/executionsale_form.html немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені.


Leave a Reply

You must be logged in to post a comment.