Websecurity - Веб безпека

Раніше, 30.03.2014-14.04.2014, я знайшов численні уразливості на сайті skype.privatbank.ua, зокрема такі дірки як Cross-Site Scripting, Cross-Site Request Forgery та URL Redirector Abuse. В той час вислав ці уразливості банку.

Cross-Site Scripting:

Три persistent XSS уразливості при доданні товару в кошик. Код спрацює на всіх сторінках, де виводиться кошик. Та інші Cross-Site Request Forgery та URL Redirector Abuse уразливості.

За деякі з них мені видали премію в 2014 році. Як за цю CSRF уразливість на skype.privatbank.ua - значно пізніше після виправлення дірки я виклав відео.

Але більшість уразливостей не були виправлені в тому році. ПриватБанк тоді проігнорував ці дірки, а вже в 2015 році всі вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Таким чином банк кинув мене, як це було з дірками на uniordreams.privatbank.ua та інших сайтах ПБ.

This entry was posted on 16:27 08.05.2018 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.