Нові уразливості на privatbank.ua
23:52 24.04.2014У червні, 23.06.2013, я знайшов нові Cross-Site Scripting та Insufficient Anti-automation уразливості на http://privatbank.ua. За 3 XSS уразливості ПриватБанк мені заплатив (тому про них я деталей не наведу), але досі повністю не виправив. Адміни додали фільтри, але їх потенційно можна обійти - ось тому потрібно якісно виправляти уразливості. А от IAA дірку виправляти не стали.
Стосовно ПриватБанка я вже писав про численні уразливості на www.blog.privatbank.ua та уразливості в LiqPAY для Android та iOS.
Всі уразливості наявні в формі http://privatbank.ua/cpa/credit-card/. Ось інформація про IAA, яку ПриватБанк не захотів виправляти, мотивуючи це тим, що в них капча розробляється, тому всі ці та інші IAA (що я знайшов на privatbank.ua та інших сайтах, а таких дірок я знайшов багато) вони “вважають виправленими”, мовляв капчу зроблять і поставлять на своїх сайтах. При тому, що в деяких формах вже є капча, але вони мовляв роблять нову. Це така відмазка, аби не виправляти дірки на своїх сайтах і не проводити оплату цих дірок.
Insufficient Anti-automation:
В формі http://privatbank.ua/cpa/credit-card/ немає захисту від автоматизованих атак (капчі).
Дана уразливість, як і багато подібних дірок, досі не виправлені.