Websecurity - Веб безпека

У червні, 23.06.2013, я знайшов нові Cross-Site Scripting та Insufficient Anti-automation уразливості на http://privatbank.ua. За 3 XSS уразливості ПриватБанк мені заплатив (тому про них я деталей не наведу), але досі повністю не виправив. Адміни додали фільтри, але їх потенційно можна обійти - ось тому потрібно якісно виправляти уразливості. А от IAA дірку виправляти не стали.

Стосовно ПриватБанка я вже писав про численні уразливості на www.blog.privatbank.ua та уразливості в LiqPAY для Android та iOS.

Всі уразливості наявні в формі http://privatbank.ua/cpa/credit-card/. Ось інформація про IAA, яку ПриватБанк не захотів виправляти, мотивуючи це тим, що в них капча розробляється, тому всі ці та інші IAA (що я знайшов на privatbank.ua та інших сайтах, а таких дірок я знайшов багато) вони “вважають виправленими”, мовляв капчу зроблять і поставлять на своїх сайтах. При тому, що в деяких формах вже є капча, але вони мовляв роблять нову. Це така відмазка, аби не виправляти дірки на своїх сайтах і не проводити оплату цих дірок.

Insufficient Anti-automation:

В формі http://privatbank.ua/cpa/credit-card/ немає захисту від автоматизованих атак (капчі).

Дана уразливість, як і багато подібних дірок, досі не виправлені.

This entry was posted on 23:52 24.04.2014 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.