Forum » Informacijska varnost » Naslednja novica bo: Hekerji vdrli v Banko Koper
Naslednja novica bo: Hekerji vdrli v Banko Koper
mojca ::
Ne vem, ali me paranoja daje z razlogom ali ne, ampak danes sem ugotovila, da lahko v obrazcu, ki načeloma izgleda kot text-only iz BankeIN bančnikom pošiljam vprašanja tipa:
<style type="text/css">body { background-color:#ff0000; } </style>
(lahko pošljem screenshot), torej moram samo še ugotoviti, kako naredim javascript injection in naredim kakšno plačilo tako napočez.
Z novimi vrsticami ti kar oni pomagajo in namesto tebe sredi pisanja vprašanja vstavijo <br/> in nasploh je njihov JavaScript support obupen. Bi me moralo skrbeti? (Ne vem, čigave kalkulatorčke sicer ponuja Banka Koper, ampak RSA-ju so itak že odtujili ključe.)
<style type="text/css">body { background-color:#ff0000; } </style>
(lahko pošljem screenshot), torej moram samo še ugotoviti, kako naredim javascript injection in naredim kakšno plačilo tako napočez.
Z novimi vrsticami ti kar oni pomagajo in namesto tebe sredi pisanja vprašanja vstavijo <br/> in nasploh je njihov JavaScript support obupen. Bi me moralo skrbeti? (Ne vem, čigave kalkulatorčke sicer ponuja Banka Koper, ampak RSA-ju so itak že odtujili ključe.)
zee ::
Lahko nalepis kaksen screenshot?
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
mojca ::
Lahko. Zamenjam samo background in dodam kakšen div v kot ali te zanima še kaj drugega? JavaScripta mi v prvem poskusu ni uspelo podtakniti, se mi pa zdi že dovolj absurdno, da sploh dovoljujejo html tag-e, poljubne css-je in jih praktično necenzurirano upoštevajo.
LeQuack ::
Če so vsi posebni HTML znaki ustrezno escape-ani, potem načeloma ni nič narobe s tem. Sicer pa sam HTML je samo statičen pogled, ki ti ga vrne strežnik, lahko bi ti recimo vrnil Wordov dokument. Ta dokument bi lahko spreminjal, če bi hotel, tako kot lahko spreminjaš HTML.
Najbolj pomembni so podatki, ki se pošljejo nazaj na strežnik, ko pritisneš kak gumb in podobno. Te mora spodobna aplikacija preveriti za razne možne zlorabe (SQL Injection, zgoraj navedena HTML koda) in jih ustrezno sanirati.
Najbolj pomembni so podatki, ki se pošljejo nazaj na strežnik, ko pritisneš kak gumb in podobno. Te mora spodobna aplikacija preveriti za razne možne zlorabe (SQL Injection, zgoraj navedena HTML koda) in jih ustrezno sanirati.
Quack !
carota ::
Samo iz opisanega, ni mogoče sklepati o kakšni varnostni luknji. Če ti uspe kakšen javascript noter vključiti ali še XSS zagnat, pa bi bilo drugače. Lahko pa preveriš če res to necenzurirano upoštevajo, vpiši noter en div brez zaključka in poglej če se stran sesuje (ali pa kar konec body-ja in html-ja). :)
Tiste RSA ključe in kalkulatorje, ki jih BK uporablja pa ne bi dajal v isti koš. RSA ključi so unique vsak zase, tej kalkulatorji pa so vsi enaki, lahko uporabiš tudi ne-svojega in se boš glihtako logirala.
P.S.: Banka Koper ni NLB, kjer ne znajo niti svojega certifikata na serverju naštimat.
Tiste RSA ključe in kalkulatorje, ki jih BK uporablja pa ne bi dajal v isti koš. RSA ključi so unique vsak zase, tej kalkulatorji pa so vsi enaki, lahko uporabiš tudi ne-svojega in se boš glihtako logirala.
P.S.: Banka Koper ni NLB, kjer ne znajo niti svojega certifikata na serverju naštimat.
techfreak :) ::
Verjetno uporabljajo kakšno knjižnico, ki odstrani vse HTML značke, razen tistih, ki jih posebej dovolijo.
mojca ::
Kako testiraš značko </html>? Vsi moji brskalniki jo gladko ignorirajo, če je za njo še besedilo.
mojca ::
Torej: nobenega preverjanja za </html>, le da browser to ignorira in kljub vsemu prikaže preostanek strani. Ja, vem, vstavljanje html kode načeloma ni škodljivo, ampak če so bili tako šlampasti, da se še v text-only oknu ne znajo zaščitit, to pri meni vzbuja hude dvome v kompetenco razvijalcev portala. Zaenkrat ne bom testirala, kaj se zgodi, če začnem vnašati ">? drop database ...", ker ne bi rada ostala brez dostopa do svojega računa (razen če me prosijo za to) in tega ne znam početi anonimno.
Kakorkoli: tu je screenshot.
Škoda samo, da sem pomotoma pustila prazne vrstice pri nastavljanju ozadja strani (te so bile zamenjane z <br>), sicer bi bila stran v celoti rdeča.
Kakorkoli: tu je screenshot.
HTML značke v BankiIN
Škoda samo, da sem pomotoma pustila prazne vrstice pri nastavljanju ozadja strani (te so bile zamenjane z <br>), sicer bi bila stran v celoti rdeča.
Zgodovina sprememb…
- spremenila: mojca ()
MisterR ::
Če ti uspe dropat bazo si zmagala ja =)
Drugače pa ti kar testiraj sej ti nič ne morejo, če imajo to "funkcionalnost" vklopljeno =)
Kako si želela vključit js? xss si že poskusila?
Drugače pa ti kar testiraj sej ti nič ne morejo, če imajo to "funkcionalnost" vklopljeno =)
Kako si želela vključit js? xss si že poskusila?
Zgodovina sprememb…
- spremenil: MisterR ()
mojca ::
No, ne bi si upala reči, da mi ravno nič ne morejo. Vseeno bi bilo bolj vljudno, če mi dajo dovoljenje za testiranje.
Mislim, da sem JS testirala z
<script type="text/javascript" language="javascript">
vendar se pritoži, češ da so neveljavni znaki v sporočilu. Kako se dela xss pa nimam pojma. Tudi slike iz drugega strežnika nisem uspela naložiti.
Mislim, da sem JS testirala z
<script type="text/javascript" language="javascript">
vendar se pritoži, češ da so neveljavni znaki v sporočilu. Kako se dela xss pa nimam pojma. Tudi slike iz drugega strežnika nisem uspela naložiti.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Inline JS v HTML; varnost, XSS, ...Oddelek: Programiranje | 1696 (1304) | MrStein |
| » | Javascript problemcekOddelek: Programiranje | 1561 (1354) | tempoFlow |
| » | Prilagoditev frameov resolucijiOddelek: Izdelava spletišč | 1350 (1188) | c0dehunter |
| » | JavaScript zunaj HTMLOddelek: Izdelava spletišč | 1248 (1146) | *wolf* |
| » | Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScriptaOddelek: Novice / Varnost | 5589 (4298) | MrStein |