"Osoby posiadające konto w mBanku mogą bez problemu poprzez odpowiednią
manipulację zmiennych poszerzyć swoje prawa użytkownika, co daje dostęp do
niedostępnych z założenia sekcji panelu, takich jak zmiana limitów dla kart
kredytowych, transakcji bezgotówkowych itp. Problem polega w głównej mierze
w samej metodzie przesyłania informacji poprzez formularze gdzie wysyłana
jest duża ilość informacji m.in.: każdorazowo imię, nazwisko, numer karty.
Kolejny problem dotyczy błędu SQL injection, który występuje na forum
mBanku. Zmienne (np. w "Szukaj") przekazywane były bezpośrednio do zapytań
bez dodania "slashy""

Wiecej:

http://hacking.pl/news.php?id=3423
http://www.codehack.pl/mbank.html

do góry

"WaSyL" <w...@r...megapolis.pl> wrote in message
news:c1qhbd$1nl6$1@mamut.aster.pl...
> "Osoby posiadające konto w mBanku mogą bez problemu poprzez odpowiednią

[....]

Swoja droga gosc wykryl luke w bezpieczenstwie ale pracownicy mbanku
zareagowali na to arogancja. ze niby jakis sczyl im cos wytyka. sloma z
butow.

do góry

WaSyL <w...@r...megapolis.pl> wrote:
> Swoja droga gosc wykryl luke w bezpieczenstwie ale pracownicy mbanku
> zareagowali na to arogancja. ze niby jakis sczyl im cos wytyka. sloma
> z butow.

No ja wlasnie czegos nie rozumiem. Czy manipulowanie tymi forumlarzami mialo
wplyw na cos? Bo z tego co czytalem - nie udalo sie uzyskac przelwu od
Myszki Miki. Jednym slowem manipulowalo sie tym co na ekranie i tylko i
wylacznie na swoim rachunku.
Mozna tez zaobaczy roznice w obsludze takich bugow w przypadku Inteligo i
mBanku ;)

do góry

Michał 'Amra' Macierzyński wrote:
>
> No ja wlasnie czegos nie rozumiem. Czy manipulowanie tymi
> forumlarzami mialo wplyw na cos? Bo z tego co czytalem - nie udalo
> sie uzyskac przelwu od Myszki Miki. Jednym slowem manipulowalo sie
> tym co na ekranie i tylko i wylacznie na swoim rachunku.

Chyba na coś miało. AFAIR na www.sl0wik.com był jeszcze niedawno zrzut
ekranowy, na którym można było sobie ustawić limit karty kredytowej na
999999999,99 czy jakoś tak - mogę się mylić o dwa czy trzy rzędy wielkości
:-)
Zauważ też tempo zatykania tej furtki - dwa dni. A na forum mBanku byli tacy
co pisali, że dodanie słownie jednej linii kodu (tzw. sprawa skaczącego
kursora) wymaga długotrwałych testów, kosztuje majątek, nie ma uzasadnienia
ekonomicznego itd.

Bogdan B.

do góry

Użytkownik "Bogdan B." <b...@h...pl> napisał w wiadomości
news:c1qpk9$f0m$1@atlantis.news.tpi.pl...
> Michał 'Amra' Macierzyński wrote:
> >
> > No ja wlasnie czegos nie rozumiem. Czy manipulowanie tymi
> > forumlarzami mialo wplyw na cos? Bo z tego co czytalem - nie udalo
> > sie uzyskac przelwu od Myszki Miki. Jednym slowem manipulowalo sie
> > tym co na ekranie i tylko i wylacznie na swoim rachunku.
>
> Chyba na coś miało. AFAIR na www.sl0wik.com był jeszcze niedawno zrzut
> ekranowy, na którym można było sobie ustawić limit karty kredytowej na
> 999999999,99 czy jakoś tak - mogę się mylić o dwa czy trzy rzędy wielkości
> :-)
Limit mozna sobie zmienic dzwoniac do mlini:) I czego to ma dowodzic, wg
Slowika tylko tyle, ze ktos kto zdobyl nasz login, haslo, liste hasel
jednorazowych oraz karte debetowa, moze zmienic limit i wyczyscic konto!!
ROTFL...

No.... to w ten sposob rozumujac to wielkim bugiem jest mozliwosc
wykonywania przelewow ( i nie jest wazne czy przy pomocy myszki na stronach
transakcyjnych czy wpisujac te same dane do zmiennych przekazywanych przez
formularz), Dlaczego???? Bo przeciez jezeli ktos zdobedzie moj login, haslo
oraz liste hasel (czyli mniej niz w poprzednim przypadku) to moze przelac
moje pieniadze na swoje konto. Bug jak pieron!!!

> Zauważ też tempo zatykania tej furtki - dwa dni. A na forum mBanku byli
tacy
> co pisali, że dodanie słownie jednej linii kodu (tzw. sprawa skaczącego
raczej usuniecie!!!
> kursora) wymaga długotrwałych testów, kosztuje majątek, nie ma
uzasadnienia
> ekonomicznego itd.
Bo nie ma!! Skaczacy kursor to taki ficzer, ktory powodowal, ze po
zaladowaniu strony transakcyjnej kursor ustawial sie w polu Uzytkownik - dla
mnie byla to bardzo fajna funkcja, ale... kilku ludzi na forum biadolilo, ze
oni nie chca aby kursor po zaladowaniu sie strony ustawial sie w tym polu.
Dla mnie zmiana bez sensu!

do góry

Użytkownik "Zdzislaw" <krenozyl@WYTNIJ_TOpolbox.com> napisał w wiadomości
news:c1qs8t$mab$1@nemesis.news.tpi.pl...
> Bo nie ma!! Skaczacy kursor to taki ficzer, ktory powodowal, ze po
> zaladowaniu strony transakcyjnej kursor ustawial sie w polu Uzytkownik -
dla
> mnie byla to bardzo fajna funkcja, ale... kilku ludzi na forum biadolilo,
ze
> oni nie chca aby kursor po zaladowaniu sie strony ustawial sie w tym polu.
> Dla mnie zmiana bez sensu!

A dla mnie z sensem, bo często mi się zdarzało, że zanim wpisałem całe
hasło, to strona zdążyła się załadować, kursor przeskakiwał i resztę hasła
wpisywałem do loginu, po czym automatycznie klepałem enter i wyskakiwał błąd
;]

Pozdrawiam,
Washko

do góry

I aby uscislic:
> Chyba na coś miało. AFAIR na www.sl0wik.com był jeszcze niedawno zrzut
> ekranowy, na którym można było sobie ustawić limit karty kredytowej na
> 999999999,99 czy jakoś tak - mogę się mylić o dwa czy trzy rzędy wielkości
zrzut jest na http://www.codehack.pl/mbank.html . Zauwazyc nalezy, ze
Slownik uzyskal dostep do PANELU zmiany limitow SWOICH kart (takiej formatki
na www), ale jak widac na zrzucie NIE udalo sie zmienic limitow (patrz:
obecny limit dzienny/miesieczny). Jednyne co mogl to powpisywac sobie liczby
w pola nowy limit dzienny/miesieczny - ale niczego to nie dawalo!!!!
Jezeli zas chodzi i myszke miki, to mozna bylo (mozna nadal) tak podac nazwy
zmiennych formularza, ze przelew na formatce bedzie mial nadawce myszka
miki, ale... to takze NIC nie daje,bo po zatwierdzeniu przelew wyjdzie z
naszymi danymi!!!!
> Jednym slowem manipulowalo sie
> tym co na ekranie i tylko i wylacznie na swoim rachunku.
nie jest to wiec bug,
a jesli tak to kazda funkcjonalnosc nim jest :))) np. mozliwosc przelania
pieniedzy:))

do góry

Zdzislaw wrote:
> nie jest to wiec bug,
> a jesli tak to kazda funkcjonalnosc nim jest :))) np. mozliwosc
> przelania pieniedzy:))

A pośpiech przy usuwaniu tej funkcjonalności to czyste public relations ;-)

do góry