Luki w mBanku by jerry
2004-02-26 11:58:12 :: Bugs - 154 czytania
Na początku były próby przechwycenia haseł dostępu do kont bankowych
oraz numerów kart płatniczych klientów polskiej filii Citibanku. Następnie
doszło do próby wyłudzenia pieniędzy z internetowych kont bankowych banku
Inteligo. Tym razem mamy poważne luki w mBanku.

Osoby posiadające konto w mBanku mogą bez problemu poprzez odpowiednią
manipulację zmiennych poszerzyć swoje prawa użytkownika, co daje dostęp do
niedostępnych z założenia sekcji panelu, takich jak zmiana limitów dla kart
kredytowych, transakcji bezgotówkowych itp.

Problem polega w głównej mierze w samej metodzie przesyłania
informacji poprzez formularze gdzie wysyłana jest duża ilość informacji
m.in.: każdorazowo imię, nazwisko, numer karty.

Kolejny problem dotyczy błędu SQL injection, który występuje na forum
mBanku. Zmienne (np. w "Szukaj") przekazywane były bezpośrednio do zapytań
bez dodania "slashy".

Co ciekawsze, odkrywca błędu którym jest Michał Słowik przekazał te
informacje do mBanku - omówił istotę błędu oraz metody jakimi można usterkę
wyeliminować. Niestety informatyk mBanku po wysłuchaniu stwierdził, że
informacje, jakie zostały przekazane nie są dziurą a niedociągnięciem.
Przyznał racje, że przykładowy panel zmiany limitów nie powinien być
dostępny dla użytkowników (zresztą jest nie ukończony) ale nie można dzięki
niemu nic wykraść więc nie jest to dziurą.

W momencie opisania artykułu, błąd SQL Injection na stronach mBanku
został poprawiony niestety problem, jaki istnieje w panelu nadal jest
aktywny.

Więcej informacji na ten temat znajduje się na stronie Michała Słowika
(autora odkrycia błędu). http://www.codehack.pl/mbank.html

za www.hacking.pl