Уразливості на pravex.com

23:54 21.09.2013

27.04.2013

У січні, 11.01.2013, я знайшов Cross-Site Scripting та Information Leakage уразливості на http://pravex.com - сайті Правекс Банка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на kredobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.09.2013

XSS:

http://pravex.com:8088/queryacc.jsp?acc=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Information Leakage:

http://pravex.com:8088/queryacc.jsp

Витік інформації про рахунки клієнтів.

Адміни зупинили роботу цього веб додатку (чи внесли баг, тому він перестав працювати). І тим самим “виправили” дві вищезгадані уразливості, але додали нову Information Leakage дірку. Тепер на сторінці виводиться інформація про веб сервер, про Java пакети на сервері та про SQL запит до СУБД.


Leave a Reply

You must be logged in to post a comment.