Численні уразливості на kredobank.com.ua
23:51 13.06.201321.02.2013
У липні, 14.06.2012, я знайшов численні уразливості на http://kredobank.com.ua - сайті банка КРЕДОБАНК. Цього разу це Cross-Site Scripting та Insufficient Anti-automation дірки. Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливості на kredobank.com.ua. Тоді дірки були в системі онлайн-банкінгу, а зараз на основному сайті банка.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
13.06.2013
XSS:
POST запит на сторінці http://kredobank.com.ua/executionsale_form.html
"><script>alert(document.cookie)</script>
В параметрах: organization, contact, telefons, address, email, activity, stuff_type, stuff_subtype, placement.
</textarea><script>alert(document.cookie)</script>
В параметрі information.
Insufficient Anti-automation:
На сторінці http://kredobank.com.ua/executionsale_form.html немає захисту від автоматизованих запитів (капчі).
Дані уразливості досі не виправлені.