Уразливості на bonus.privatbank.ua
22:41 28.10.2019Раніше, 03.03.2013, я знайшов Fingerprinting та Insufficient Anti-automation уразливості на сайті bonus.privatbank.ua. В той час вислав ці уразливості банку. Також виявив на сайті ще численні уразливості, які ПБ виправив і заплатив мені, але не ці.
Insufficient Anti-automation:
В формах на головній сторінці та інших сторінках не було захисту від автоматизованих атак. Що дозволяло спамити смс-ками на мобільні телефони. Подібні уразливості я знаходив на багатьох сайтах банка. Fingerprinting уразливості - це були витоки версій веб сервера та використання старих його версій.
ПриватБанк тоді проігнорував ці уразливості, але через кілька років приховано виправив. Таким чином банк кинув мене, як це було з дірками на st.privatbank.ua та інших сайтах ПБ.