-
From: Jurek Zielinski <j...@t...debica.pl>
Newsgroups: pl.biznes.banki
Subject: Re: [mBank] Dziurawy (Cross Site Scripting)
Date: 18 Jan 2002 08:09:00 GMT
Organization: Telekomunikacja Debicka S.A.
Lines: 25
Message-ID: <s...@c...tel.debica.pl>
References: <s...@p...batory.org.pl>
Reply-To: j...@t...debica.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Complaints-To: U...@n...vogel.pl
NNTP-Posting-Date: 18 Jan 2002 08:09:00 GMT
User-Agent: slrn/0.9.7.0 (Linux)
NNTP-Posting-Host: canin.tel.debica.pl
X-Original-NNTP-Posting-Host: canin.tel.debica.pl
X-Trace: news.vogel.pl 1011342008 canin.tel.debica.pl (18 Jan 2002 09:20:08 +0100)
X-Complaints-To: U...@n...vogel.pl
Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!news.icm.edu.pl!news.onet.pl!newsfee
d.tpinternet.pl!news.vogel.pl!nnrp
Xref: news-archive.icm.edu.pl pl.biznes.banki:155956
[ ukryj nagłówki ]Dnia czw, 17 sty 2002 at 19:52 GMT,
Tomasz Ostrowski <t...@s...mimuw.edu.pl> napisał(a):
> Włamywacz może wysłać do użytkownika przelew z odpowiednio
> spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
> operacji z tym przelewem, jego przeglądarka wykona skrypt
> przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
> danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
> jakiś program je odczyta i połączy się z serwerem mBanku udając
> przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
> kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
> zdefiniowane przelewy.
Niekoniecznie
1-to że przeglądarka to umożliwia nie znaczy że serwer to przyjmie
(weryfikacja jest na poziomie przeglądarki i na poziomie serwera)
trzeba by po prostu zdefiniować taki przelew mbank<->mbank
2-to że mbank w swoich wewnetrznych transakcjach to umożliwia to nie
znaczy że przejdzie taki numer eliksirem
Ale nie zmienia to faktu że tak być nie powinno.
--
------------------------------
Jurek
Następne wpisy z tego wątku
- 18.01.02 15:27 Tomasz Ostrowski
- 05.02.02 11:47 Tomasz Ostrowski
Najnowsze wątki z tej grupy
- BNP Paribas likwiduje rachunki GOoptima
- Problemy z logowaniem do mBanku w Firefoxie
- Aion zmienił się w UniCredit
- Tusk znowu sprzyja BANKSTEROM
- Bydlaki kontra inflacja...
- Promocje w citku.
- mBank - wypłata z bankomatu
- Citek i "wymagane działanie"
- Mentzen: Nie macie pojęcia o kryptowalutach, a chcecie decydować o ich przyszłości!
- iKO
- Alior zmiana logowania
- paragony grozy
- Znalazłem pieniądze przed bankiem - Absurdalny monolog o absurdalnym pytaniu. YES:)odc.909
- Kuczyński twierdzi że WIBOR nie jest do ruszenia w sądach
- zarobki w 1995r
Najnowsze wątki
- 2025-10-15 BNP Paribas likwiduje rachunki GOoptima
- 2025-10-10 Problemy z logowaniem do mBanku w Firefoxie
- 2025-10-09 Aion zmienił się w UniCredit
- 2025-10-07 Tusk znowu sprzyja BANKSTEROM
- 2025-10-07 Bydlaki kontra inflacja...
- 2025-10-04 Promocje w citku.
- 2025-10-03 mBank - wypłata z bankomatu
- 2025-10-01 Citek i "wymagane działanie"
- 2025-09-25 Mentzen: Nie macie pojęcia o kryptowalutach, a chcecie decydować o ich przyszłości!
- 2025-09-25 iKO
- 2025-09-24 Alior zmiana logowania
- 2025-09-23 paragony grozy
- 2025-09-23 Znalazłem pieniądze przed bankiem - Absurdalny monolog o absurdalnym pytaniu. YES:)odc.909
- 2025-09-18 Kuczyński twierdzi że WIBOR nie jest do ruszenia w sądach
- 2025-09-14 zarobki w 1995r
![Cyberzagrożenia na wakacjach: porty USB, kody QR, Wi-Fi i fałszywe strony - jak się chronić? [© wygenerowane przez AI]](https://s3.egospodarka.pl/grafika2/cyberbezpieczenstwo/Cyberzagrozenia-na-wakacjach-porty-USB-kody-QR-Wi-Fi-i-falszywe-strony-jak-sie-chronic-267662-50x33crop.png "Cyberzagrożenia na wakacjach: porty USB, kody QR, Wi-Fi i fałszywe strony - jak się chronić? [© wygenerowane przez AI]")
Cyberzagrożenia na wakacjach: porty USB, kody QR, Wi-Fi i fałszywe strony - jak się chronić?
