Уразливості на shafa.ua
19:37 25.06.2025Раніше я навів численні уразливості на bonus.privatbank.ua. Також у понад тридцяти публікаціях про безпеку e-commerce сайтів в Уанеті я писав про уразливості знайдені мною на сайтах онлайн магазинів і банків з 2006 року, а також про хакнуті та інфіковані українські e-commerce сайти. Ось ще приклад.
Раніше, 09.09.2024, я знайшов Insufficient Authentication уразливості на shafa.ua. Про що відразу написав власникам магазину.
Insufficient Authentication (WASC-01):
При реєстрації видає слабкий пароль. Якщо користувач сайту не змінить його, то пароль в п’ять символів швидко підберуть.
Також не працює зміна паролю на сайті, що може завадити користувачам замінити слабкий пароль. Зміг змінити його не через пошту, а лише через відправлення смс на телефон.
Адміни по хамські мені відповіли та проігнорували ці уразливості.