XSS уразливості на limit.privatbank.ua

23:51 29.12.2016

У серпні, 31.08.2013, я знайшов Cross-Site Scripting та інші уразливості на сайтах http://limit.pb.ua та http://limit.privatbank.ua. Це два домени одного сайту, тому всі уразливості однакові на них обох (зараз limit.pb.ua перенаправляє на limit.privatbank.ua). Тоді у вересні вислав всі ці уразливості ПриватБанку.

Якщо всі дірки банк підтвердив і взяв в роботу, то лише одну найбільш важливу дірку (з витоком даних клієнтів) ПБ виправив через два місяці та пізніше виплатив мені премію. Про інші дірки, як ось ця XSS, жодної відповіді за понад три роки я не отримав. Хоча нагадував їм про попередні уразливості в 2014-2016 роках. В цьому році я виявив, що ПриватБанк вже виправив всі інші уразливості (але без жодних премій мені) шляхом повної переробки сайту.

Стосовно ПриватБанка я вже писав про уразливість на partner.privatbank.ua та уразливості на acsk.privatbank.ua.

Cross-Site Scripting:

http://limit.pb.ua/%27;alert(document.cookie);a=%27

http://limit.privatbank.ua/%27;alert(document.cookie);a=%27

Дані уразливості та деякі інші не були виправлені в 2013 році. Але вже в 2016 році всі вони були виправлені. Проте я знайшов нові уразливості на limit.privatbank.ua, про які повідомив банк.


Leave a Reply

You must be logged in to post a comment.