Уразливості на promos.privatbank.ua

16:23 31.12.2021

Раніше, 11.05.2013, я знайшов Brute Force та Insufficient Anti-automation уразливості на сайті promos.privatbank.ua. В той час вислав ці уразливості банку. Пізніше я знайшов на сайті ще Fingerprinting, Cross-Site Scripting та інші уразливості, які вони виправили і заплатили мені, але не ці.

Brute Force (WASC-11):

http://promos.privatbank.ua/admin/

Відсутність захисту від підбору пароля адміна.

Insufficient Anti-automation (WASC-21):

В формах на різних сторінках не було захисту від автоматизованих атак. Що дозволяло спамити смс-ками на мобільні телефони. Подібні уразливості я знаходив на багатьох сайтах банка.

ПриватБанк тоді проігнорував ці уразливості, але через кілька років приховано виправив шляхом закриття сервера. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.


Leave a Reply

You must be logged in to post a comment.