Websecurity - Веб безпека

Виявлене цілочислене переповнення в mod_proxy під Apache.

Уразливі версії: Apache 1.3.

Цілочислене переповнення, що приводить до переповнення динамічного буфера при розборі відповіді сервера в кодуванні chunked.

• Mod_proxy from apache 1.3 - Integer overflow which causes heap overflow (деталі)

Як я вже писав неодноразово, ПриватБанк погано слідкує за безпекою власних сайтів, що добре видно по численним уразливостям на www.privatbank.ua та www.blog.privatbank.ua, що я знаходив. А також нещодавно я писав про захист персональних даних в ПриватБанку, де згадав про те, як даний банк допускає витоки персональних даних своїх клієнтів. І з часом я напишу про нові дірки на сайтах ПБ.

До вищенаведеного розповім одну історію, про яку дізнався в грудні 2009 року. В грудні я розпочав надавати послуги по обміну WebMoney <-> LiqPAY, виводу WebMoney <-> Visa <-> та виводу WebMoney <-> Приват24. І на початку грудня мій друг пішов в ПриватБанк, щоб відкрити валютний рахунок для використання в даному проекті.

Так от, під час відкриття карткового рахунку і проведення його прив’язки до Приват24, оператор банку повідомив моєму другу цікаву річ, про що він розповів мені . Що в ПриватБанку регулярно відбуваються хакерські інциденти (пов’язані з інтернет-банкінгом), коли викрадаються кошти з рахунків їхніх клієнтів, але вони мовляв це компенсують їм за власні кошти.

Це вони так свого клієнта запевнювали, щоб він не хвилювався за свої кошти. І те, що подібні інциденти мають місце я не сумніваюся, враховуючи вищезгадані уразливості на сайтах ПриватБанку. Тільки дуже дивним виглядає підхід Привата до даного питання - дешевше було б виправити дірки і слідкувати за безпекою сайтів, ніж закривати на це очі та компенсувати своїм клієнтам втрати. Не кажучи вже про переживання клієнтів, та про втрату банком свого іміджа (і потенційно й клієнтів), у випадку подібних інцидентів.

І ще розповім одну історію про ПриватБанк, цього разу про акцептацію чеків в LiqPAY.

На офійіному сайті LiqPAY стосовно прийому чеків (Гугла та інших) нічого не згадується про комісію (про існування якої, в тому числі й в ПриватБанку, я знаю з власного досвіду переведення чеків в готівку). Лише заявляється, що “у день перевірки оригіналу чека зазначена в ньому сума зараховується на ваш рахунок”. Але це не відповідає дійсності. Бо зазначену в чеці суму не зарухують із-за наявності комісії банку, яку віднімуть з суми чеку, тому зарахована сума буде меншою.

Я вияснив комісію банку по акцептації чеків в LiqPAY (в Приват24 розцінки ті самі):

до 1000 доларів - тільки 3% (мінімум 20 грн.),
від 1000 до 10000 доларів - $24 + 3%,
від 10000 до 50000 доларів - $44 + 3%.

В даній добірці уразливості в веб додатках:

• Phorum : Permanent Cross-Site Scripting Vulnerabilities (деталі)
• New python-dns packages fix DNS response spoofing (деталі)
• Kaminsky DNS Cache Poisoning Flaw Exploit (деталі)
• New pdns-recursor packages fix predictable randomness (деталі)
• Multiple Cisco Products Vulnerable to DNS Cache Poisoning Attacks (деталі)
• DNS vulnerability impact on the libc stub resolver (деталі)
• Drupal 6 Date/Calendar XSS Vulnerability (деталі)
• Joomla! < 1.5.12 Multiple Full Path Disclosure vulnerabilities (деталі)
• CodeIgniter Global XSS Filtering Bypass Vulnerability (деталі)
• GMAIL-LITE Arbitrary File Upload 0.10 <= (деталі)