12 listopada 2001 zauważyłem, że przy wyświetlaniu danych przelewów w
części transakcyjnej systemu obsługi rachunków mBanku przez internet,
nie są filtrowane znaki, które służą oznaczaniu znaczników HTML. Czyli
znak '>' (znak większości, ASCII 62) nie jest zamieniany na ciąg
'&gt;'; znak '<' (znak mniejszości, ASCII 60) na '&lt;' a '&'
(ampersand, ASCII 60) na '&amp;'.

Powoduje to, że można wykonać przelew z tytułem zawierającym kod HTML
np. wykonującym skrypt przez przeglądarkę. Taki skrypt może zrobić
wiele rzeczy - spowodować wywołanie jakiejś innej strony www,
przekierowanie na inną stronę www, czytać 'cookie' przypisane do
strony i przesyłać ich zawartość na inny serwer itp.

Choć przy wprowadzaniu danych przelewów jest zabezpieczenie przed
wprowadzeniem takich znaków, ale jest śmiesznie proste do obejścia -
wystarczy przeglądarce zabronić wykonywania skryptów dla jednej ze
stron. Zabezpieczenie nie chroni też przed przelewami przychodzącymi
z poza mBanku.

Pracownicy mBanku zostali o tym od razu powiadomieni (dość
nieoficjalnymi kanałami) ale do tej pory nie zostało to poprawione.
Ponownie wysłałem prośbę o poprawkę 29 grudnia na m...@m...com.pl,
ale bez odpowiedzi.

Niedawno system obsługi rachunków zmienił sposób rozpoznawania sesji
użytkownika. Wykorzystuje on 'memory cookie'. To stworzyło możliwość
wykorzystania omówionej powyżej możliwości do przejęcia sesji
użytkownika.

Włamywacz może wysłać do użytkownika przelew z odpowiednio
spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
operacji z tym przelewem, jego przeglądarka wykona skrypt
przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
jakiś program je odczyta i połączy się z serwerem mBanku udając
przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
zdefiniowane przelewy.

Bibliografia:

http://www.cert.org/advisories/CA-2000-02.html
CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client
Web Requests

http://groups.google.com/groups?
as_umsgid=slrn.pl.9uqa4e.sv9.tometzky%40pancernik.ba
tory.org.pl
Mój post "[mBank] Bug w cybercafe - popup inteligo :-)", który
wywołał małą 'flamewar' na p.b.b, a dotyczył tego samego błędu
na forum mBanku.

--
Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
Tometzky http://rainbow.mimuw.edu.pl/~tometzky/humor/
Uczmy się na cudzych błędach, bo sami wszystkich popełnić nie zdążymy.
[ Joanna Chmielewska ]

do góry

Nie tylko mBank ma tę przypadłość.

Grzegorz

do góry

Było to poruszane niedawno w wątku Tytuł Przelewu -Paranoja (czy jakoś
tak) i na ebankach.
Jeden z ciekawszych efektów:
http://www.ds2.pg.gda.pl/~camomile/mB3.jpg
http://www.ds2.pg.gda.pl/~camomile/mB4.jpg

Problem dotyczy wszystkich banków w Polsce. Tylko City jest chyba na to
odporny.

--
Pozdrawiam
Kamil
c...@h...pl

do góry

Dnia czw, 17 sty 2002 at 19:52 GMT,
Tomasz Ostrowski <t...@s...mimuw.edu.pl> napisał(a):
> Włamywacz może wysłać do użytkownika przelew z odpowiednio
> spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
> operacji z tym przelewem, jego przeglądarka wykona skrypt
> przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
> danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
> jakiś program je odczyta i połączy się z serwerem mBanku udając
> przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
> kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
> zdefiniowane przelewy.

Niekoniecznie

1-to że przeglądarka to umożliwia nie znaczy że serwer to przyjmie
(weryfikacja jest na poziomie przeglądarki i na poziomie serwera)
trzeba by po prostu zdefiniować taki przelew mbank<->mbank
2-to że mbank w swoich wewnetrznych transakcjach to umożliwia to nie
znaczy że przejdzie taki numer eliksirem

Ale nie zmienia to faktu że tak być nie powinno.

--
------------------------------
Jurek

do góry

On 18 Jan 2002 08:09:00 GMT, Jurek Zielinski wrote:

> 1-to że przeglądarka to umożliwia nie znaczy że serwer to przyjmie
> (weryfikacja jest na poziomie przeglądarki i na poziomie serwera)
> trzeba by po prostu zdefiniować taki przelew mbank<->mbank
> 2-to że mbank w swoich wewnetrznych transakcjach to umożliwia to nie
> znaczy że przejdzie taki numer eliksirem

A niby dlaczego miałby nie przejść - przecież eliksir nie jest
internetowy - a '<' '>' '&' to normalne znaczki ASCII.

> Ale nie zmienia to faktu że tak być nie powinno.

Przepraszam, ale wrzasnę:
NIECH TO W KOŃCU DO CIĘŻKIEJ CH... POPRAWIĄ

--
Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
Tometzky http://rainbow.mimuw.edu.pl/~tometzky/humor/
Uczmy się na cudzych błędach, bo sami wszystkich popełnić nie zdążymy.
[ Joanna Chmielewska ]

do góry

On Thu, 17 Jan 2002 21:15:55 +0100, camokiller wrote:

> Problem dotyczy wszystkich banków w Polsce. Tylko City jest chyba na
> to odporny.

No to w takim razie do Citi dołączył właśnie mBank. :-)

Zostałem dziś mile zaskoczony tytułem przelewu
"<IMG SRC=/GIFS/LOGO.GIF>" zamiast obrazka. Niniejszym chciałbym
podziękować mBankowi za reakcję. Nieco późną ale za to skuteczną.

Zakładam, że to nie tylko w tytule przelewu, ale też innych polach
kontrolowanych przez użytkownika.

--
Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
Tometzky http://rainbow.mimuw.edu.pl/~tometzky/humor/
Uczmy się na cudzych błędach, bo sami wszystkich popełnić nie zdążymy.
[ Joanna Chmielewska ]

do góry