« Діряві сайти і додатки та Anthropic Mythos

Нові уразливості на idea.privatbank.ua

23:55 30.05.2026

Раніше, 09.04.2013 та 13.04.2013, я знайшов Insufficient Authentication, Information Leakage та Cross-Site Scripting уразливості на сайті idea.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Insufficient Authentication (WASC-01):

http://217.117.65.248/s4/topnames/
http://217.117.65.248/s4/queue/

Доступ до цих розділів на https://idea.privatbank.ua заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

Information Leakage (WASC-13):

http://217.117.65.248/s4/queue/ - витік статистичної інформації.

Cross-Site Scripting (WASC-08):

http://217.117.65.248/s4/topnames/time/%3Cbody%20onload=alert(document.cookie)%3E

Та ще одна XSS уразливість на сайті через POST запит.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.


This entry was posted on 23:55 30.05.2026 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply

You must be logged in to post a comment.