eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.banki[mBank] Dziurawy (Cross Site Scripting)
Ilość wypowiedzi w tym wątku: 6

  • 1. Data: 2002-01-17 19:52:53
    Temat: [mBank] Dziurawy (Cross Site Scripting)
    Od: Tomasz Ostrowski <t...@s...mimuw.edu.pl>

    12 listopada 2001 zauważyłem, że przy wyświetlaniu danych przelewów w
    części transakcyjnej systemu obsługi rachunków mBanku przez internet,
    nie są filtrowane znaki, które służą oznaczaniu znaczników HTML. Czyli
    znak '>' (znak większości, ASCII 62) nie jest zamieniany na ciąg
    '&gt;'; znak '<' (znak mniejszości, ASCII 60) na '&lt;' a '&'
    (ampersand, ASCII 60) na '&amp;'.

    Powoduje to, że można wykonać przelew z tytułem zawierającym kod HTML
    np. wykonującym skrypt przez przeglądarkę. Taki skrypt może zrobić
    wiele rzeczy - spowodować wywołanie jakiejś innej strony www,
    przekierowanie na inną stronę www, czytać 'cookie' przypisane do
    strony i przesyłać ich zawartość na inny serwer itp.

    Choć przy wprowadzaniu danych przelewów jest zabezpieczenie przed
    wprowadzeniem takich znaków, ale jest śmiesznie proste do obejścia -
    wystarczy przeglądarce zabronić wykonywania skryptów dla jednej ze
    stron. Zabezpieczenie nie chroni też przed przelewami przychodzącymi
    z poza mBanku.

    Pracownicy mBanku zostali o tym od razu powiadomieni (dość
    nieoficjalnymi kanałami) ale do tej pory nie zostało to poprawione.
    Ponownie wysłałem prośbę o poprawkę 29 grudnia na m...@m...com.pl,
    ale bez odpowiedzi.

    Niedawno system obsługi rachunków zmienił sposób rozpoznawania sesji
    użytkownika. Wykorzystuje on 'memory cookie'. To stworzyło możliwość
    wykorzystania omówionej powyżej możliwości do przejęcia sesji
    użytkownika.

    Włamywacz może wysłać do użytkownika przelew z odpowiednio
    spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
    operacji z tym przelewem, jego przeglądarka wykona skrypt
    przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
    danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
    jakiś program je odczyta i połączy się z serwerem mBanku udając
    przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
    kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
    zdefiniowane przelewy.

    Bibliografia:

    http://www.cert.org/advisories/CA-2000-02.html
    CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client
    Web Requests

    http://groups.google.com/groups?
    as_umsgid=slrn.pl.9uqa4e.sv9.tometzky%40pancernik.ba
    tory.org.pl
    Mój post "[mBank] Bug w cybercafe - popup inteligo :-)", który
    wywołał małą 'flamewar' na p.b.b, a dotyczył tego samego błędu
    na forum mBanku.

    --
    Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
    Tometzky http://rainbow.mimuw.edu.pl/~tometzky/humor/
    Uczmy się na cudzych błędach, bo sami wszystkich popełnić nie zdążymy.
    [ Joanna Chmielewska ]


  • 2. Data: 2002-01-17 20:00:00
    Temat: Re: [mBank] Dziurawy (Cross Site Scripting)
    Od: "Grzegorz" <g...@p...onet.pl>

    Nie tylko mBank ma tę przypadłość.

    Grzegorz


  • 3. Data: 2002-01-17 20:15:55
    Temat: Re: [mBank] Dziurawy (Cross Site Scripting)
    Od: "camokiller" <c...@h...pl>

    Było to poruszane niedawno w wątku Tytuł Przelewu -Paranoja (czy jakoś
    tak) i na ebankach.
    Jeden z ciekawszych efektów:
    http://www.ds2.pg.gda.pl/~camomile/mB3.jpg
    http://www.ds2.pg.gda.pl/~camomile/mB4.jpg

    Problem dotyczy wszystkich banków w Polsce. Tylko City jest chyba na to
    odporny.

    --
    Pozdrawiam
    Kamil
    c...@h...pl



  • 4. Data: 2002-01-18 08:09:00
    Temat: Re: [mBank] Dziurawy (Cross Site Scripting)
    Od: Jurek Zielinski <j...@t...debica.pl>

    Dnia czw, 17 sty 2002 at 19:52 GMT,
    Tomasz Ostrowski <t...@s...mimuw.edu.pl> napisał(a):
    > Włamywacz może wysłać do użytkownika przelew z odpowiednio
    > spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
    > operacji z tym przelewem, jego przeglądarka wykona skrypt
    > przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
    > danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
    > jakiś program je odczyta i połączy się z serwerem mBanku udając
    > przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
    > kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
    > zdefiniowane przelewy.

    Niekoniecznie

    1-to że przeglądarka to umożliwia nie znaczy że serwer to przyjmie
    (weryfikacja jest na poziomie przeglądarki i na poziomie serwera)
    trzeba by po prostu zdefiniować taki przelew mbank<->mbank
    2-to że mbank w swoich wewnetrznych transakcjach to umożliwia to nie
    znaczy że przejdzie taki numer eliksirem

    Ale nie zmienia to faktu że tak być nie powinno.

    --
    ------------------------------
    Jurek


  • 5. Data: 2002-01-18 15:27:24
    Temat: Re: [mBank] Dziurawy (Cross Site Scripting)
    Od: Tomasz Ostrowski <t...@s...mimuw.edu.pl>

    On 18 Jan 2002 08:09:00 GMT, Jurek Zielinski wrote:

    > 1-to że przeglądarka to umożliwia nie znaczy że serwer to przyjmie
    > (weryfikacja jest na poziomie przeglądarki i na poziomie serwera)
    > trzeba by po prostu zdefiniować taki przelew mbank<->mbank
    > 2-to że mbank w swoich wewnetrznych transakcjach to umożliwia to nie
    > znaczy że przejdzie taki numer eliksirem

    A niby dlaczego miałby nie przejść - przecież eliksir nie jest
    internetowy - a '<' '>' '&' to normalne znaczki ASCII.

    > Ale nie zmienia to faktu że tak być nie powinno.

    Przepraszam, ale wrzasnę:
    NIECH TO W KOŃCU DO CIĘŻKIEJ CH... POPRAWIĄ

    --
    Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
    Tometzky http://rainbow.mimuw.edu.pl/~tometzky/humor/
    Uczmy się na cudzych błędach, bo sami wszystkich popełnić nie zdążymy.
    [ Joanna Chmielewska ]


  • 6. Data: 2002-02-05 11:47:56
    Temat: Re: [mBank] Dziurawy (Cross Site Scripting) - poprawili
    Od: Tomasz Ostrowski <t...@s...mimuw.edu.pl>

    On Thu, 17 Jan 2002 21:15:55 +0100, camokiller wrote:

    > Problem dotyczy wszystkich banków w Polsce. Tylko City jest chyba na
    > to odporny.

    No to w takim razie do Citi dołączył właśnie mBank. :-)

    Zostałem dziś mile zaskoczony tytułem przelewu
    "<IMG SRC=/GIFS/LOGO.GIF>" zamiast obrazka. Niniejszym chciałbym
    podziękować mBankowi za reakcję. Nieco późną ale za to skuteczną.

    Zakładam, że to nie tylko w tytule przelewu, ale też innych polach
    kontrolowanych przez użytkownika.

    --
    Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
    Tometzky http://rainbow.mimuw.edu.pl/~tometzky/humor/
    Uczmy się na cudzych błędach, bo sami wszystkich popełnić nie zdążymy.
    [ Joanna Chmielewska ]

strony : [ 1 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1