Уразливості на ukrgasbank.com

22:58 29.10.2023

03.03.2018

У вересні, 22.09.2017, я знайшов Brute Force та Cross-Site Request Forgery на ukrgasbank.com - сайті Укргазбанку. Про що найближчим часом повідомлю адміністрації.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на limit.privatbank.ua та uniordreams.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.10.2023

Brute Force (WASC-11):

https://ukrgasbank.com/admin/

Відсутність захисту від підбору пароля адміна.

Cross-Site Request Forgery (WASC-21):

Відсутність захисту від автоматизованих атак в цій самій формі логіну дозволяє провести CSRF атаку для віддаленого входу.

Дані уразливості за всі ці роки не виправлені. Тоді ж, 22.09.2017, я знайшов численні уразливості на онлайн-банкінгу Укргазбанку, про які повідомив їм разом з цими дірками на головному сайті - приватно, без анонсів на своєму сайті. Жодної відповіді на всі мої листи від банку не отримав.


Leave a Reply

You must be logged in to post a comment.