Topic: Уязвимость на сайте ПриватБанка позволял - page 2. (Read 2979 times)
Давненько я не видел подобных новостей. Главное что бы сбер не лег
Хорошо, что закрыли.
Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя
5 Сентября, 2015
Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей.
«Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь.
По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200®ular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен.
В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется).
http://www.securitylab.ru/news/474561.php
5 Сентября, 2015
Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей.
«Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь.
По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200®ular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен.
В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется).
http://www.securitylab.ru/news/474561.php
Jump to: