Websecurity - Веб безпека

У квітні, 30.04.2013, я знайшов Cross-Site Scripting та інші уразливості на сайті https://acsk.privatbank.ua. На відміну від дірок на інших сайтах, ПБ не став оплачувати ці уразливості, бо не побачив ризику в них і проігнорував мої аргументи (що XSS та інші дірки потрібно на всіх сайтах виправляти).

Стосовно ПриватБанка я вже писав про уразливості на privatbank.ua та уразливість на partner.privatbank.ua.

Cross-Site Scripting:

Всього 6 XSS уразливостей в скрипті https://acsk.privatbank.ua/pages/index.jsp?page=2 в параметрах owner_value, inn_value, firm_value, edrpou_value, from_value, to_value. А також інші дірки.

Дані уразливості та деякі інші не були виправлені в 2013 році. Але вже в 2015 році я виявив, що банк виправив всі ці уразливості.

This entry was posted on 22:41 19.11.2015 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.