« Вийшли PHP 8.3.20 і 8.4.6

Уразливості на bonus.privatbank.ua

19:32 30.12.2025

Раніше, 25.03.2013, я знайшов Full path disclosure, Information Leakage, а 27.03.2013 ще Cross-Site Scripting, Full path disclosure, Information Leakage та SQL Injection уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Full path disclosure (WASC-13):

Витік шляху в http://bonus.privatbank.ua/stock/ та в інших розділах.

Information Leakage (WASC-13):

Витік усього SQL запиту (SQL DB Structure Extraction) в шести місцях.

Cross-Site Scripting (WASC-08):

Виявив XSS у чотирьох місцях.

SQL Injection (WASC-19):

Виявив критичні SQL ін’єкції в двох місцях, через які визначив СУБД.

ПриватБанк тоді проігнорував їх та не оплатив, окрім деяких на цьому сайті. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.


This entry was posted on 19:32 30.12.2025 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply

You must be logged in to post a comment.