SSL בישראל – אתרים שלא תיקנו פגיעויות

כחלק מפרויקט SSL in Israel שלי, להלן האתרים שעדיין, נכון לתאריך העדכון של כל רשומה רלוונטית, מכילים פגיעות על פי דו"ח SSL Labs, למרות שבעלי האתר קיבלו הודעה על הפגיעות ו-30 ימים קלנדרים לתיקון, אך ימים אלו חלפו והפגיעות נשארה.
כל שורה בטבלה שלהלן מכילה פגיעות אחת בלבד, כך שיכול להיות שלאתר מסוים יהיו יותר משורה אחת במידה ויש לו יותר מפגיעות אחת.
כמו כן ייתכן והאתרים שמופיעים כאן עדיין לא פורסמו בגרסה האחרונה של קובץ האקסל הכללי של הפרויקט, אך זה לא ממש רלוונטי כי בעלי האתרים בכל מקרה קיבלו הודעה על כל פגיעות ואת 30 הימים לתיקון.
(בחרתי בכוונה להשאיר את הטבלה בגודל המקורי שלה, כך שהיא חורגת מרוחב עמוד הבלוג, בכדי לאפשר לכם לראות את הטבלה בשלמותה, אם כי ייתכן ותצטרכו לבצע "הרחקה/Zoom Out" של תצוגת העמוד על ידי הדפדפן שלכם. אחרת, אם הייתי מאלץ את הטבלה לרוחב העמוד, הייתם רואים בכל פעם רק חלק מהטבלה והייתם צריכים לגלול לצדדים כל הזמן, מצב שנראה לי פחות יעיל)

נכון לפרסום בתאריך 14 ליולי 2017, אלו הגופים שעדיין יש להם פגיעויות:
בנק דיסקונט – בנק
דואר ישראל (בנק הדואר) – דואר ובנק
CreditGuard – סליקת כרטיסי אשראי
Tranzila – סליקת כרטיסי אשראי

עדכונים:
22/7/17 – השרת host.creditguard.co.il הוסר מהטבלה מאחר ורשומת ה-DNS שלו נמחקה ולכן האתר לא נגיש כעת ׁׁ(לכל הפחות על בסיס שם דומיין)

11/8/17 – השרת bank.postil.com הוסר מהטבלה מאחר ואינו עונה בגישת HTTPS, כלומר לא עונה לפורט 443 TCP

 

 

Record update dateLast Date to fixDate of disclosureReport LinkThe issueSite Essence (Assumed)NameSiteOrdinal Number
14/07/201718/05/201718/04/2017https://www.ssllabs.com/ssltest/analyze.html?d=swd.discountbank.co.il&hideResults=onVulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107)Secure file transfer system by WatchDox (now Blackberry)Discount Bankhttps://swd.discountbank.co.il1
14/07/201725/05/201725/04/2017https://www.ssllabs.com/ssltest/analyze.html?d=tashlumim.bankhadoar.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)SSL VPNBank Hadoarhttps://tashlumim.bankhadoar.co.il2
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgmpi.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)"CreditGuard Redirect Integration System (UAT)"CreditGuardhttps://cgmpi.creditguard.co.il4
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgfraudguard.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)CreditGuard FraudGuardCreditGuardhttps://cgfraudguard.creditguard.co.il5
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgfraudguard.creditguard.co.il&hideResults=onVulnerable to MITM attacks because it supports insecure renegotiationCreditGuard FraudGuardCreditGuardhttps://cgfraudguard.creditguard.co.il6
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgpay3.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)UnknownCreditGuardhttps://cgpay3.creditguard.co.il8
14/07/201705/07/201705/06/2017https://www.ssllabs.com/ssltest/analyze.html?d=secure.tranzila.com&hideResults=onVulnerable to the POODLE attack (SSLv3)UnknownTranzilahttps://secure.tranzila.com9
14/07/201705/07/201705/06/2017https://www.ssllabs.com/ssltest/analyze.html?d=secure.tranzila.com&hideResults=onOpenSSL CCS vulnerability (CVE-2014-0224)UnknownTranzilahttps://secure.tranzila.com10

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

Share via emailShare on Tumblr Share

הודעה מוקדמת על כנס OWASP ישראל השנתי

התקבל אצלי השבוע במייל הטקסט הבא, המודיע על מועד הכנס השנתי הקרוב של OWASP ישראל. המייל נשלח מעופר מאור, ofer.maor בדומיין owasp.org.
אני מפרסם אותו כאן לידיעת העוסקים בתחום ומעוניינים להשתתף באופן כזה או אחר בכנס.
CFP פירושו Call For Papers, כלומר התקופה בה ניתן לשלוח למארגני האירוע רעיונות להרצאות ומצגות שיועברו בכנס.
לקבלת עדכוני ההמשך אודות הכנס, אתם צריכים להירשם לרשימת הדיוור של OWASP ישראל.

"
שלום לכולם,

כנס OWASP ישראל השנתי יהיה השנה ביום ה', ה-15/9/2011, בין השעות 9:00 ל-17:00 במרכז הבינתחומי הרצליה.
הכנס יכלול שני מסלולי הרצאות, כמו גם אזור בו יוצגו מוצרים בתחום אבטחת היישומים.

משתתפים
ההשתתפות בכנס הינה בחינם, אולם נדרשת הרשמה מוקדמת. במהלך חודש יוני ישלח מידע הנוגע להרשמה לכנס.

מרצים
מרצים אשר רוצים להרצות בכנס יוכלו להגיש את נושאי ההרצאה במסגרת ה-CFP אשר יחל ב-15/6/11 ויסתיים ב-15/7/11.
אג'נדה מפורטת של ההרצאות תפורסם כחודש לפני האירוע.

מציגים ונותני חסות
חברות אשר רוצות לתת חסות לכנס ולהציג מתבקשות ליצור עמי קשר בהקדם האפשרי.

נשמח לראותכם.
"

אגב הגנת יישומי WEB, במקרה השבוע מצאתי שחברה שירות סריקת הפגיעויות, Qualys, הקימה מיזם בשם IronBee, שנועד להיות Web Application Firewall בקוד פתוח, שאמור לפעול ב"ענן".
עוד לא הספקתי להתעמק בקונספט הזה, במשמעות שלו ומה יצא ל-Qualys מזה, אבל שווה שתדעו על זה.

 

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...