Нові уразливості на feerverk.privatbank.ua

23:55 30.03.2018

Раніше, 16.04.2013, я знайшов численні уразливості на feerverk.privatbank.ua та fireworks.privatbank.ua - це два домени одного сайта. Зокрема такі дірки як Fingerprinting та Insufficient Anti-automation. В той час вислав ці уразливості банку.

Fingerprinting (WASC-45):

http://feerverk.privatbank.ua

Витік версій серверних додатків у HTTP заголовках.

Також використання старих й уразливих версій nginx і PHP.

Insufficient Anti-automation (WASC-21):

В одній формі на сайті не було захисту від автоматизованих атак. Це дозволяло автоматизовано реєструватися на сайті. А також спамити листами і смсками.

В інший формі на сайті не було захисту від автоматизованих атак і OTP код всього два символи. Це дозволяло автоматизовано підтверджувати реєстрацію на сайті.

ПриватБанк тоді проігнорував ці уразливості. За кілька років вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Таким чином банк кинув мене, як це було з дірками на skype.privatbank.ua та інших сайтах ПБ.


Leave a Reply

You must be logged in to post a comment.