Уразливості на www.pravexonline.com
19:33 28.02.201704.12.2015
В жовтні, 11.10.2012, я знайшов Brute Force та Cross-Site Request Forgery на www.pravexonline.com - це система інтернет-банкінгу Правекс Банку. А також багато інших уразливостей. Про що найближчим часом повідомлю розробникам системи.
Раніше я писав про уразливості на pravex.com. Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на acsk.privatbank.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
28.02.2017
Цей онлайн банкінг доступний на https і використовує самопідписаний SSL сертифікат.
Brute Force:
https://www.pravexonline.com/names.nsf
Немає захисту від BF атак.
Cross-Site Request Forgery:
Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в акаунті.
На сайті використовується IBM Lotus Domino, тому там також можуть бути численні уразливості в Domino, які я виявив у 2012 році.