Websecurity - Веб безпека

У червні, 28.06.2013, я знайшов Denial of Service, Content Spoofing, Privilege Escalation, Server-Side Request Forgery, Cross-Site Scripting, Full path disclosure та XML External Entities уразливості на сайті http://www.blog.privatbank.ua (блог ПриватБанка). Про що минулого місяця сповістив адміністрацію сайта.

В 2008 році я вже писав про уразливості на www.blog.privatbank.ua, а це нові дірки на цьому сайті. В останнє стосовно ПриватБанка я писав про уразливість в Приват24 для Android.

Ці всі уразливості відносяться до WordPress. Вразлива версія якого використовується на www.blog.privatbank.ua. Раніше я вже писав про численні уразливості в WordPress 3.5.1, що були виправлені у версії 3.5.2. І серед них я детально описав Content Spoofing, Denial of Service, Full path disclosure, Cross-Site Scripting та XML External Entities уразливості. А також навів дві Denial of Service уразливості, що стосуються і WP 3.5.2.

Дані уразливості досі не виправлені, тому що ПриватБанк відмовився це робити (бо цей сайт для них не актуальний). На що я порадив їм закрити сайт і вони пообіцяли подумати над цим.

This entry was posted on 23:52 19.07.2013 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.