-
Data: 2002-01-17 19:52:53
Temat: [mBank] Dziurawy (Cross Site Scripting)
Od: Tomasz Ostrowski <t...@s...mimuw.edu.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]12 listopada 2001 zauważyłem, że przy wyświetlaniu danych przelewów w
części transakcyjnej systemu obsługi rachunków mBanku przez internet,
nie są filtrowane znaki, które służą oznaczaniu znaczników HTML. Czyli
znak '>' (znak większości, ASCII 62) nie jest zamieniany na ciąg
'>'; znak '<' (znak mniejszości, ASCII 60) na '<' a '&'
(ampersand, ASCII 60) na '&'.
Powoduje to, że można wykonać przelew z tytułem zawierającym kod HTML
np. wykonującym skrypt przez przeglądarkę. Taki skrypt może zrobić
wiele rzeczy - spowodować wywołanie jakiejś innej strony www,
przekierowanie na inną stronę www, czytać 'cookie' przypisane do
strony i przesyłać ich zawartość na inny serwer itp.
Choć przy wprowadzaniu danych przelewów jest zabezpieczenie przed
wprowadzeniem takich znaków, ale jest śmiesznie proste do obejścia -
wystarczy przeglądarce zabronić wykonywania skryptów dla jednej ze
stron. Zabezpieczenie nie chroni też przed przelewami przychodzącymi
z poza mBanku.
Pracownicy mBanku zostali o tym od razu powiadomieni (dość
nieoficjalnymi kanałami) ale do tej pory nie zostało to poprawione.
Ponownie wysłałem prośbę o poprawkę 29 grudnia na m...@m...com.pl,
ale bez odpowiedzi.
Niedawno system obsługi rachunków zmienił sposób rozpoznawania sesji
użytkownika. Wykorzystuje on 'memory cookie'. To stworzyło możliwość
wykorzystania omówionej powyżej możliwości do przejęcia sesji
użytkownika.
Włamywacz może wysłać do użytkownika przelew z odpowiednio
spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
operacji z tym przelewem, jego przeglądarka wykona skrypt
przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
jakiś program je odczyta i połączy się z serwerem mBanku udając
przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
zdefiniowane przelewy.
Bibliografia:
http://www.cert.org/advisories/CA-2000-02.html
CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client
Web Requests
http://groups.google.com/groups?
as_umsgid=slrn.pl.9uqa4e.sv9.tometzky%40pancernik.ba
tory.org.pl
Mój post "[mBank] Bug w cybercafe - popup inteligo :-)", który
wywołał małą 'flamewar' na p.b.b, a dotyczył tego samego błędu
na forum mBanku.
--
Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
Tometzky http://rainbow.mimuw.edu.pl/~tometzky/humor/
Uczmy się na cudzych błędach, bo sami wszystkich popełnić nie zdążymy.
[ Joanna Chmielewska ]
Następne wpisy z tego wątku
- 17.01.02 20:00 Grzegorz
- 17.01.02 20:15 camokiller
- 18.01.02 08:09 Jurek Zielinski
- 18.01.02 15:27 Tomasz Ostrowski
- 05.02.02 11:47 Tomasz Ostrowski
Najnowsze wątki z tej grupy
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
Najnowsze wątki
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże