Websecurity - Веб безпека

Раніше, 29.03.2013, я знайшов Information Leakage, Insufficient Authentication, Full path disclosure, Cross-Site Scripting та SQL Injection уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s2/polls/ - витік статистичних даних.

Insufficient Authentication (WASC-01):

http://217.117.65.248/s2/polls/

Доступ до цього розділу за доменом заборонений, але відкритий при доступі по IP.

Full path disclosure (WASC-13):

Витік шляху в http://217.117.65.248/s2/polls/conveyor/graph_xml/ та в інших розділах.

Information Leakage (WASC-13):

Витік усього SQL запиту (SQL DB Structure Extraction) в 4 місцях.

Cross-Site Scripting (WASC-08):

Виявив XSS у восьми місцях.

SQL Injection (WASC-19):

Виявив критичні SQL ін’єкції в чотирьох місцях.

ПриватБанк тоді проігнорував їх та не оплатив, окрім деяких на сайті. Вони лише заплатили за SQL Injection (і ще пару), але в п’ять разів менше від максимальної ціни, хоча це критичні дірки й банк заявляв, що за такі платить максимум. Раніше вони мені лише по XSS та іншим діркам занижували оплату, а з цього сайту почали по SQLi.

Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

This entry was posted on 23:54 31.03.2026 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.