Нові уразливості на bonus.privatbank.ua
09:02 28.12.2024Раніше, 21.03.2013, я знайшов Fingerprinting та Brute Force уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.
Fingerprinting (WASC-45):
Витік даних про версію веб сервера на всіх сторінках bonus.privatbank.ua з помилками 403 та 404, яких може бути незліченна кількість. Виводилася інформація про nginx 1.2.2.
Brute Force (WASC-11):
http://217.117.65.248/sa/cpanel/ та в ще одному скрипті.
Відсутність захисту від підбору пароля адміна.
Також знайшов використання старих версій nginx та MySQL.
ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.