Уразливості на www.pravexonline.com

19:33 28.02.2017

04.12.2015

В жовтні, 11.10.2012, я знайшов Brute Force та Cross-Site Request Forgery на www.pravexonline.com - це система інтернет-банкінгу Правекс Банку. А також багато інших уразливостей. Про що найближчим часом повідомлю розробникам системи.

Раніше я писав про уразливості на pravex.com. Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на acsk.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.02.2017

Цей онлайн банкінг доступний на https і використовує самопідписаний SSL сертифікат.

Brute Force:

https://www.pravexonline.com/names.nsf

Немає захисту від BF атак.

Cross-Site Request Forgery:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в акаунті.

На сайті використовується IBM Lotus Domino, тому там також можуть бути численні уразливості в Domino, які я виявив у 2012 році.


Leave a Reply

You must be logged in to post a comment.