Уразливості на bonus.privatbank.ua

22:57 31.12.2023

Раніше, 18.03.2013, я знайшов Full path disclosure, Information Leakage та інші уразливості на сайті bonus.privatbank.ua. В той час я вислав ці уразливості банку.

Full path disclosure (WASC-13):

http://bonus.privatbank.ua/news/list/-1
http://bonus.privatbank.ua/stock/list/-1

Information Leakage (WASC-13):

SQL DB Structure Extraction на обох цих сторінках.

Full path disclosure (WASC-13):

http://bonus.privatbank.ua/stock/

Abuse of Functionality (WASC-42):

Також можна було на сторінці сайту (лише за IP адресою) підбирати LDAP-логіни керівників департаментів. Бо різні відповіді при коректному і некоректному логіні.

http://217.117.65.248/s3/monitoring/report/create

Insufficient Authentication (WASC-01):

Доступ до цього розділу заборонений по домену, але доступний на 217.117.65.248 (по IP).

ПриватБанк тоді прийняв ці уразливості в свою програму, не оплатив і через багато років приховано виправив. Таким чином банк кинув мене, як це було з дірками на цьому та інших сайтах ПБ.


Leave a Reply

You must be logged in to post a comment.