Finansbank kaynak kodu ekran görüntüsüFinansbank kaynak kodu inc dizini

Bugün Arslan’nın farkettiği ve bana ilettiği bir açığı sizinle paylaşmak istiyorum. Sadece Firefox’ta çalışan bu açık sayesinde adres satırına http://www.finansbank.com.tr den sonra bir “.” (nokta) koyduğumuz zaman JSP kaynak kodu görülebiliyor (Ör; http://www.finansbank.com.tr./SearchResults.jsp). Bu açık sayesinde bu alan adındaki tüm jsp ve include dosyalarının kaynak kodunu görmek mümkün. Ancak aynı açık https‘den çalışan, bireysel bankacılık giriş adresi olan https://intbank.finansbank.com.tr alt alanadı için geçerli değil. Çok ciddi bir açık, konuyu ilgililere bir an önce ileteceğiz. :(

Güncelleme: Finansbank yetkilisi Gülay Şahin beni aradı ve durumu kendisine anlattım ve yazılım ekibine iletmesi için örnekler içeren bir email attım. Kısa süre sonra baktığımda artık kaynak kodu yerine “Not Found” sayfasını gördüm. Sorun düzeldikten sonra da bir teşekkür telefonu aldım.