Luki w mBanku by jerry
2004-02-26 11:58:12 :: Bugs - 154 czytania
Na początku były próby przechwycenia haseł dostępu do kont bankowych
oraz numerów kart płatniczych klientów polskiej filii Citibanku. Następnie
doszło do próby wyłudzenia pieniędzy z internetowych kont bankowych banku
Inteligo. Tym razem mamy poważne luki w mBanku.

Osoby posiadające konto w mBanku mogą bez problemu poprzez odpowiednią
manipulację zmiennych poszerzyć swoje prawa użytkownika, co daje dostęp do
niedostępnych z założenia sekcji panelu, takich jak zmiana limitów dla kart
kredytowych, transakcji bezgotówkowych itp.

Problem polega w głównej mierze w samej metodzie przesyłania
informacji poprzez formularze gdzie wysyłana jest duża ilość informacji
m.in.: każdorazowo imię, nazwisko, numer karty.

Kolejny problem dotyczy błędu SQL injection, który występuje na forum
mBanku. Zmienne (np. w "Szukaj") przekazywane były bezpośrednio do zapytań
bez dodania "slashy".

Co ciekawsze, odkrywca błędu którym jest Michał Słowik przekazał te
informacje do mBanku - omówił istotę błędu oraz metody jakimi można usterkę
wyeliminować. Niestety informatyk mBanku po wysłuchaniu stwierdził, że
informacje, jakie zostały przekazane nie są dziurą a niedociągnięciem.
Przyznał racje, że przykładowy panel zmiany limitów nie powinien być
dostępny dla użytkowników (zresztą jest nie ukończony) ale nie można dzięki
niemu nic wykraść więc nie jest to dziurą.

W momencie opisania artykułu, błąd SQL Injection na stronach mBanku
został poprawiony niestety problem, jaki istnieje w panelu nadal jest
aktywny.

Więcej informacji na ten temat znajduje się na stronie Michała Słowika
(autora odkrycia błędu). http://www.codehack.pl/mbank.html

za www.hacking.pl

do góry

Thu, 26 Feb 2004 12:30:25 +0100, w <c1klo4$mpd$1@nemesis.news.tpi.pl>,
"Redtown" <R...@k...pl> napisał(-a):

> Osoby posiadające konto w mBanku mogą bez problemu poprzez odpowiednią
> manipulację zmiennych poszerzyć swoje prawa użytkownika, co daje dostęp do
> niedostępnych z założenia sekcji panelu, takich jak zmiana limitów dla kart
> kredytowych, transakcji bezgotówkowych itp.
>
> Problem polega w głównej mierze w samej metodzie przesyłania
> informacji poprzez formularze gdzie wysyłana jest duża ilość informacji
> m.in.: każdorazowo imię, nazwisko, numer karty.

Od kiedy zainstalowałem Operę i widzę co znajduje się w każdym URL-u strony,
zauważyłem, że fajnie można sobie "spersonalizować" mbank :)).

Coś tak czułem, że z tego coś wyniknie, bo trudno przy tak zaprojektowanym
systemie utrzymać bezpieczeństwo na rozsądnym poziomie :] Wszystko powinno być
robione w sesjach, a przekazywanie zmiennych za pomocą URL to raczej nadaje się
do amatorskich zastosowań...

do góry

"Redtown" <R...@k...pl> wrote in message
news:c1klo4$mpd$1@nemesis.news.tpi.pl...
> Luki w mBanku by jerry
> 2004-02-26 11:58:12 :: Bugs - 154 czytania
> Na początku były próby przechwycenia haseł dostępu do kont
bankowych
> oraz numerów kart płatniczych klientów polskiej filii Citibanku. Następnie
> doszło do próby wyłudzenia pieniędzy z internetowych kont bankowych banku
> Inteligo. Tym razem mamy poważne luki w mBanku.

Co to znaczy "strona mBanku"? Chodzi o forum czy o strony transakcyjne?

KK

do góry

KK wrote:
[...]
> Co to znaczy "strona mBanku"? Chodzi o forum czy o strony transakcyjne?
>
Strony transakcyjne. Tyle, ze ja nie bardzo wierzę człowiekowi który na
własnej stronie nie potrafi odpowiednio kodowania ustawić.

KJ

--
KRETYNIZM - ułomność predysponująca często do wampiryzmu
(J.Collin de Plancy "Słownik wiedzy tajemnej")

Jid: k...@c...pl lub k...@j...wp.pl

do góry

Radosław Popławski dnia 2004-02-26 13:44 napisał(a) co następuje:

> Od kiedy zainstalowałem Operę i widzę co znajduje się w każdym URL-u strony,
> zauważyłem, że fajnie można sobie "spersonalizować" mbank :)).

Rzeczywiście :) Teraz to zauważyłem...

Ciekawe, czy tak "spersonalizowany" przelew można "wypluć" z mBanku? Bo
na ekranie wygląda tak, że można nadać przelew _od_ MYSZKI MIKI ;-)

Jeśli ktoś jest chętny do testów, to niech przyśle mi na priva numer
konta w mBanku - poślę grosik, zobaczymy jakie będą dane w przelewie
przychodzącym :)

Marek

do góry

Witam

Użytkownik "Marek Madej" <m...@w...INTERIA.i-to.PL> napisał w
wiadomości news:c1kt1v$ps9$1@nemesis.news.tpi.pl...

>
> Ciekawe, czy tak "spersonalizowany" przelew można "wypluć" z mBanku? Bo
> na ekranie wygląda tak, że można nadać przelew _od_ MYSZKI MIKI ;-)
>
> Jeśli ktoś jest chętny do testów, to niech przyśle mi na priva numer
> konta w mBanku - poślę grosik, zobaczymy jakie będą dane w przelewie
> przychodzącym :)

Wyslij sam do siebie z eKonta na eMax, albo odwotnie.
Nie stracisz grosika:)

Pozdrawiam

Marcin

lu78 (at) go2 (dot) pl

do góry

Marek Madej dnia 2004-02-26 14:39 napisał(a) co następuje:

> Ciekawe, czy tak "spersonalizowany" przelew można "wypluć" z mBanku? Bo
> na ekranie wygląda tak, że można nadać przelew _od_ MYSZKI MIKI ;-)

Niestety (?), nie można ;-)

Marek

do góry

>       Luki w mBanku by jerry

http://www.cafe.mbank.com.pl/php/read.php3?f=1&i=122
351&t=122351

Jacek

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik Marek Madej m...@w...INTERIA.i-to.PL ...

>> Od kiedy zainstalowałem Operę i widzę co znajduje się w każdym URL-u
>> strony, zauważyłem, że fajnie można sobie "spersonalizować" mbank
>> :)).
>
> Rzeczywiście :) Teraz to zauważyłem...
>
> Ciekawe, czy tak "spersonalizowany" przelew można "wypluć" z mBanku?
> Bo na ekranie wygląda tak, że można nadać przelew _od_ MYSZKI MIKI ;-)
>
> Jeśli ktoś jest chętny do testów, to niech przyśle mi na priva numer
> konta w mBanku - poślę grosik, zobaczymy jakie będą dane w przelewie
> przychodzącym :)
>
Chyba to jednak nie działa. Rzeczywiście w danych pojawia sie np. MYSZKA
MIKI ale jak przelałem grosza znajomej to ona w szczegółach ma moje dane, a
nie disney'owskiej postaci :)

--
Pozdrawia... Budzik ; #GG: 565516
b_u_d_z_i_k_6_1_ @poczta. kropka onet. kropka pl (adres antyspamowy, usuń także
"_")
"Każde dziecko jest poniekąd geniuszem w oczach swych rodziców,
a każdy geniusz dzieckiem." Artur Schopenhauer

do góry

Kamil Jońca napisał:

> Strony transakcyjne. Tyle, ze ja nie bardzo wierzę człowiekowi który na
> własnej stronie nie potrafi odpowiednio kodowania ustawić.

?? - Ma przecież iso-8859-2... Ach, faktycznie, w tagach trochę
zamieszania jest (<html></html><body>...), ale bez przesady...

Pzdr
PWZ

do góry