Тестирование на проникновение: российский банк из топ-100
ITGLOBAL.COM Security выявила уязвимости в CMS (Content Management System) сайта банка, зарегистрировала 3 CVE и помогла банку организовать меры для защиты, несмотря на отсутствие реакции вендора.О клиенте
Российский банк, входит в топ-100 по размеру активов среди банков РФ. Основной вид деятельности банка: потребительское кредитование, кредитование малого и среднего бизнеса, предоставление вкладов, операции с ценными бумагами и валютой и расчетно-кассовое обслуживание.
Задача
Клиент работает с нами давно, выполняемый проект – регулярное внешнее тестирование на проникновение для оценки эффективности мер и систем защиты. Это тестирование банк проводит ежегодно.
Состав команды
Команда проекта состояла из двух человек:
— Руководитель группы пентестеров
— Специалист по тестированию на проникновение
Особенности проекта
Основной сайт банка написан на ABO.CMS, которая стала одним из основных объектов тестирования.
В ходе тестирования мы выявили 3 уязвимости в этой CMS, которые впоследствии были зарегистрированы:
- CVE-2023-46953
- CVE-2023-46952
- CVE-2023-48858
Эксплуатация уязвимостей позволила нам:
- Получить пароль от учетной записи пользователя CMS.
- С помощью Referrer воспроизвести Blind-XSS.
- Воспроизвести Reflected XSS на форме входа в CMS.
- Реализовать SQLi
Длительность проекта
С момента начала тестирования до сдачи отчета – 1 месяц.
Результаты
Мы осуществили регистрацию и публикацию CVE после того, как трижды оповестили вендора, а также помогли клиенту самостоятельно минимизировать риски.
После устранения всех замечаний, выявленных в ходе тестирования, инфраструктура банка успешно прошла оценку соответствия требованиям регуляторов.