eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.banki[mBank] Dziurawy (Cross Site Scripting)[mBank] Dziurawy (Cross Site Scripting)
  • Data: 2002-01-17 19:52:53
    Temat: [mBank] Dziurawy (Cross Site Scripting)
    Od: Tomasz Ostrowski <t...@s...mimuw.edu.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    12 listopada 2001 zauważyłem, że przy wyświetlaniu danych przelewów w
    części transakcyjnej systemu obsługi rachunków mBanku przez internet,
    nie są filtrowane znaki, które służą oznaczaniu znaczników HTML. Czyli
    znak '>' (znak większości, ASCII 62) nie jest zamieniany na ciąg
    '&gt;'; znak '<' (znak mniejszości, ASCII 60) na '&lt;' a '&'
    (ampersand, ASCII 60) na '&amp;'.

    Powoduje to, że można wykonać przelew z tytułem zawierającym kod HTML
    np. wykonującym skrypt przez przeglądarkę. Taki skrypt może zrobić
    wiele rzeczy - spowodować wywołanie jakiejś innej strony www,
    przekierowanie na inną stronę www, czytać 'cookie' przypisane do
    strony i przesyłać ich zawartość na inny serwer itp.

    Choć przy wprowadzaniu danych przelewów jest zabezpieczenie przed
    wprowadzeniem takich znaków, ale jest śmiesznie proste do obejścia -
    wystarczy przeglądarce zabronić wykonywania skryptów dla jednej ze
    stron. Zabezpieczenie nie chroni też przed przelewami przychodzącymi
    z poza mBanku.

    Pracownicy mBanku zostali o tym od razu powiadomieni (dość
    nieoficjalnymi kanałami) ale do tej pory nie zostało to poprawione.
    Ponownie wysłałem prośbę o poprawkę 29 grudnia na m...@m...com.pl,
    ale bez odpowiedzi.

    Niedawno system obsługi rachunków zmienił sposób rozpoznawania sesji
    użytkownika. Wykorzystuje on 'memory cookie'. To stworzyło możliwość
    wykorzystania omówionej powyżej możliwości do przejęcia sesji
    użytkownika.

    Włamywacz może wysłać do użytkownika przelew z odpowiednio
    spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
    operacji z tym przelewem, jego przeglądarka wykona skrypt
    przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
    danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
    jakiś program je odczyta i połączy się z serwerem mBanku udając
    przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
    kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
    zdefiniowane przelewy.

    Bibliografia:

    http://www.cert.org/advisories/CA-2000-02.html
    CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client
    Web Requests

    http://groups.google.com/groups?
    as_umsgid=slrn.pl.9uqa4e.sv9.tometzky%40pancernik.ba
    tory.org.pl
    Mój post "[mBank] Bug w cybercafe - popup inteligo :-)", który
    wywołał małą 'flamewar' na p.b.b, a dotyczył tego samego błędu
    na forum mBanku.

    --
    Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
    Tometzky http://rainbow.mimuw.edu.pl/~tometzky/humor/
    Uczmy się na cudzych błędach, bo sami wszystkich popełnić nie zdążymy.
    [ Joanna Chmielewska ]

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1