[mBank] Dziurawy (Cross Site Scripting) - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › [mBank] Dziurawy (Cross Site Scripting) › [mBank] Dziurawy (Cross Site Scripting)

Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!news.icm.edu.pl!tometzky
From: Tomasz Ostrowski <t...@s...mimuw.edu.pl>
Newsgroups: pl.biznes.banki
Subject: [mBank] Dziurawy (Cross Site Scripting)
Date: Thu, 17 Jan 2002 19:52:53 +0000 (UTC)
Organization: MIMUW
Lines: 56
Message-ID: <s...@p...batory.org.pl>
NNTP-Posting-Host: nostromo.batory.org.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: sunsite.icm.edu.pl 1011297173 23113 62.89.94.226 (17 Jan 2002 19:52:53 GMT)
X-Complaints-To: a...@i...edu.pl
NNTP-Posting-Date: Thu, 17 Jan 2002 19:52:53 +0000 (UTC)
User-Agent: slrn/0.9.7.0 (pl-1.1.1) (Linux/2.4.17 (i686))
Xref: news-archive.icm.edu.pl pl.biznes.banki:155840
[ ukryj nagłówki ]

12 listopada 2001 zauważyłem, że przy wyświetlaniu danych przelewów w
części transakcyjnej systemu obsługi rachunków mBanku przez internet,
nie są filtrowane znaki, które służą oznaczaniu znaczników HTML. Czyli
znak '>' (znak większości, ASCII 62) nie jest zamieniany na ciąg
'>'; znak '<' (znak mniejszości, ASCII 60) na '<' a '&'
(ampersand, ASCII 60) na '&'.

Powoduje to, że można wykonać przelew z tytułem zawierającym kod HTML
np. wykonującym skrypt przez przeglądarkę. Taki skrypt może zrobić
wiele rzeczy - spowodować wywołanie jakiejś innej strony www,
przekierowanie na inną stronę www, czytać 'cookie' przypisane do
strony i przesyłać ich zawartość na inny serwer itp.

Choć przy wprowadzaniu danych przelewów jest zabezpieczenie przed
wprowadzeniem takich znaków, ale jest śmiesznie proste do obejścia -
wystarczy przeglądarce zabronić wykonywania skryptów dla jednej ze
stron. Zabezpieczenie nie chroni też przed przelewami przychodzącymi
z poza mBanku.

Pracownicy mBanku zostali o tym od razu powiadomieni (dość
nieoficjalnymi kanałami) ale do tej pory nie zostało to poprawione.
Ponownie wysłałem prośbę o poprawkę 29 grudnia na m...@m...com.pl,
ale bez odpowiedzi.

Niedawno system obsługi rachunków zmienił sposób rozpoznawania sesji
użytkownika. Wykorzystuje on 'memory cookie'. To stworzyło możliwość
wykorzystania omówionej powyżej możliwości do przejęcia sesji
użytkownika.

Włamywacz może wysłać do użytkownika przelew z odpowiednio
spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
operacji z tym przelewem, jego przeglądarka wykona skrypt
przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
jakiś program je odczyta i połączy się z serwerem mBanku udając
przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
zdefiniowane przelewy.

Bibliografia:

http://www.cert.org/advisories/CA-2000-02.html
CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client
Web Requests

http://groups.google.com/groups?
as_umsgid=slrn.pl.9uqa4e.sv9.tometzky%40pancernik.ba
tory.org.pl
Mój post "[mBank] Bug w cybercafe - popup inteligo :-)", który
wywołał małą 'flamewar' na p.b.b, a dotyczył tego samego błędu
na forum mBanku.

--
Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
Tometzky http://rainbow.mimuw.edu.pl/~tometzky/humor/
Uczmy się na cudzych błędach, bo sami wszystkich popełnić nie zdążymy.
[ Joanna Chmielewska ]