Уразливості на promos.privatbank.ua
16:23 31.12.2021Раніше, 11.05.2013, я знайшов Brute Force та Insufficient Anti-automation уразливості на сайті promos.privatbank.ua. В той час вислав ці уразливості банку. Пізніше я знайшов на сайті ще Fingerprinting, Cross-Site Scripting та інші уразливості, які вони виправили і заплатили мені, але не ці.
Brute Force (WASC-11):
http://promos.privatbank.ua/admin/
Відсутність захисту від підбору пароля адміна.
Insufficient Anti-automation (WASC-21):
В формах на різних сторінках не було захисту від автоматизованих атак. Що дозволяло спамити смс-ками на мобільні телефони. Подібні уразливості я знаходив на багатьох сайтах банка.
ПриватБанк тоді проігнорував ці уразливості, але через кілька років приховано виправив шляхом закриття сайта. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.