shapeshifter08 30 мая 2012 в 18:53

Банки. Ошибки и уязвимости

3 мин

6.3K

Информационная безопасность*

Recovery Mode

+28

Комментарии 19

vyacheslav_ka 30 мая 2012 в 19:52

что если бы был включен Register_Globals, то можно было бы выполнить XSS.

Там нет register_globals, т.к. битрикс, а это значить что там дотнет. Обзор какой то слишком уж поверхностный получился.

-23

DevMan 30 мая 2012 в 19:59

С каких пор битрикс стал дотнет?

+11

vyacheslav_ka 30 мая 2012 в 20:00

Потому что написан на asp .net?

-18

DevMan 30 мая 2012 в 20:02

Ступил. Забыл, что у них 2-е редакции: PHP и ASP.NET.
Но печенька с названием PHPSESSID намекает :)

+10

vyacheslav_ka 30 мая 2012 в 20:04

Хм. Тоже ступил. Напрочь забыл о существовании PHP версии, которая, как оказалось, существовала(и существует) до дотнетовской версии.

achekalin 31 мая 2012 в 10:41

Она и существовала всегда. .Net версия вышла не так давно, как ответ на «ожидания рынка», и насколько она один-в-один повторяет функционал PHP-ной — вопрос.

horses 31 мая 2012 в 14:44

.Net версия битрикса значительно урезанна, так как предполагаю, что ресурсов на ее разработку выделяется меньше. С недавних пор она вообще не называется битриксом, а зовут ее .NET Forge CMS

denim 30 мая 2012 в 20:33

не весть какие уязвимости…

НЛО прилетело и опубликовало эту надпись здесь

PavelSandovin 31 мая 2012 в 00:23

А банк X на информацию не ответил, а в полицию уже написал?

НЛО прилетело и опубликовало эту надпись здесь

vatt2001 31 мая 2012 в 02:50

Неделя тестирования уязвимостией сайтов на хабре всё продолжается и продолжается. Астрологи в недоумении.

pr0tect0r 31 мая 2012 в 06:01

Самоя большая беда банков — Служба безопасности — они отлично справляются с Оффлайн угрозами, но совершенно не смыслят в IT.
Год назад в Банке Х (тоже) отказалисть от модернизации железа, ибо NT его уже не поддерживает, а W2008 не пропустила Служба безопасности. Не говоря про 98 на ПК сотрудников.

Жесть?! Жесть, ибо банк достаточно крупный.

chelovekdimka 31 мая 2012 в 09:34

Прикиньте, и это только в России. Сколько ещё в мире банков и сколько у них сайтов. :)

dharrya 31 мая 2012 в 09:38

Как то поверхностно и скучно, чем помешал слеш у Альфа-Банка? XSS же не заканчивается на <script>alert('ololo');</script>

Somewan 31 мая 2012 в 10:13

Реквестирую проверку ТКС Банка.
В свете выхода бета-версии ИБ-3, на банки.ру говны вскипали от возмущения, чуть ли не с требованиями заблокировать вход в ИБ-3 по заявке от пользователей.
www.tcsbank.ru/bank/

Dr_Logic 31 мая 2012 в 11:33

iframe и script не удалось внедрить из-за модуля про-активного фильтра. Значит не зря его ребята из битрикса писали — криворукие интеграторы не смогли создать уязвимость своим быдлокодом.