eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiPSD2 mBank i pewnie nie tylko...Re: PSD2 mBank i pewnie nie tylko...
  • Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!3.eu.feeder.erj
    e.net!feeder.erje.net!newsfeed.xs4all.nl!newsfeed7.news.xs4all.nl!85.12.16.70.M
    ISMATCH!peer03.ams1!peer.ams1.xlned.com!news.xlned.com!peer03.fr7!futter-mich.h
    ighwinds-media.com!news.highwinds-media.com!newsfeed.neostrada.pl!unt-exc-02.ne
    ws.neostrada.pl!unt-spo-a-02.news.neostrada.pl!news.neostrada.pl.POSTED!not-for
    -mail
    Newsgroups: pl.biznes.banki
    From: Wojciech Bancer <w...@g...com>
    Subject: Re: PSD2 mBank i pewnie nie tylko...
    References: <5d3ef4e4$0$500$65785112@news.neostrada.pl>
    <s...@p...org>
    <5d52c35d$0$17348$65785112@news.neostrada.pl>
    <s...@p...org>
    <qj0ftc$1ejh$1@gioia.aioe.org>
    <s...@p...org>
    <qj0jlh$1vds$1@gioia.aioe.org>
    <s...@p...org>
    <5d53ec28$0$17364$65785112@news.neostrada.pl>
    <qj0uhs$1hdo$1@gioia.aioe.org>
    <5d5400d7$0$17364$65785112@news.neostrada.pl>
    <qj0vtf$1nb5$1@gioia.aioe.org>
    <5d541ba5$0$17341$65785112@news.neostrada.pl>
    <qj1h1u$6bp$1@gioia.aioe.org>
    <5d5a9741$0$17352$65785112@news.neostrada.pl>
    <qje5ok$198m$1@gioia.aioe.org>
    <5d5a9d07$0$500$65785112@news.neostrada.pl> <m...@p...waw.pl>
    <5d5bc4f8$0$534$65785112@news.neostrada.pl>
    <qjgirr$1r4g$1@gioia.aioe.org>
    <5d5bd4a5$0$17348$65785112@news.neostrada.pl>
    <qjgork$m5b$1@gioia.aioe.org>
    <c...@g...com>
    <s...@p...org>
    Organization: None
    Date: Tue, 20 Aug 2019 15:02:26 +0200
    User-Agent: slrn/1.0.3 (Darwin)
    Mime-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-2
    Content-Transfer-Encoding: 8bit
    Message-ID: <s...@p...org>
    Lines: 45
    NNTP-Posting-Host: 31.60.28.152
    X-Trace: 1566306153 unt-rea-a-02.news.neostrada.pl 539 31.60.28.152:15490
    X-Complaints-To: a...@n...neostrada.pl
    X-Received-Bytes: 3460
    X-Received-Body-CRC: 2156272124
    Xref: news-archive.icm.edu.pl pl.biznes.banki:645249
    [ ukryj nagłówki ]

    On 2019-08-20, Wojciech Bancer <w...@g...com> wrote:
    > On 2019-08-20, Kris <k...@g...com> wrote:
    >
    > [...]
    >
    >>> Chcę zrobić przelew, w znakomitej większości korzystam ze
    >>> zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
    >>> w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
    >>> wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
    >>> nie tak?
    >>
    >> Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak
    wejdziesz na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie
    tak
    >
    > Napisanie "proxy" które będzie pobierało dane ze strony banku

    Żeby nie być gołosłownym, to takie najbardziej prymitywne
    rozwiązanie to chociażby:
    https://github.com/chimurai/http-proxy-middleware

    ---
    var express = require('express');
    var proxy = require('http-proxy-middleware');

    var app = express();

    app.use('/', proxy({ target: 'http://strona.mojego.banku', changeOrigin: true }));
    app.listen(3000);
    ---

    Czyli jakieś 6 linijek kodu i wszystko masz "przekazywane", tak że jedynie
    po domenie widzisz różnicę. Bank również dostaje wszystkie właściwe dane,
    nagłówki przeglądarki itp., wszystko od Ciebie.

    Oczywiście banki stosują pewne zabezpieczenia, ale jak ktoś wie co robi,
    to i je obejdzie. A w środku powyższego możesz dodać kod dowolnie
    modyfikujący wybrane fragmenty strony, czy tego co użytkownik
    przekazuje.

    Dopisanie więc, że przelew który użytkownik autoryzuje
    zamiast 1,00 zł, to <saldo konta>,00 zł, to dość prosta
    rzecz.

    --
    Wojciech Bańcer
    w...@g...com

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1