Уразливості на bonus.privatbank.ua

22:53 31.08.2022

Раніше, 12.03.2013, я знайшов Brute Force, Cross-Site Scripting та Fingerprinting уразливості на сайті bonus.privatbank.ua. В той час я вислав ці уразливості банку.

Brute Force (WASC-11):

http://bonus.privatbank.ua/sa/close/login

Відсутність захисту від підбору пароля адміна.

Cross-Site Scripting (WASC-08):

http://bonus.privatbank.ua/single/chat/category/1%22;alert(document.cookie);a=%22

http://bonus.privatbank.ua/single/chat/question/70%22;alert(document.cookie);a=%22

Також виявив численні Fingerprinting уразливості - витоки версій додатків і використання старих версій веб сервера та MySQL.

ПриватБанк тоді проігнорував ці уразливості, але через багато років приховано виправив. Таким чином банк кинув мене, як це було з дірками на promos.privatbank.ua та інших сайтах ПБ.


Leave a Reply

You must be logged in to post a comment.