Re: [mBank] Dziurawy (Cross Site Scripting) - Grupy dyskusyjne w eGospodarka.pl

From: Jurek Zielinski <j...@t...debica.pl>
Newsgroups: pl.biznes.banki
Subject: Re: [mBank] Dziurawy (Cross Site Scripting)
Date: 18 Jan 2002 08:09:00 GMT
Organization: Telekomunikacja Debicka S.A.
Lines: 25
Message-ID: <s...@c...tel.debica.pl>
References: <s...@p...batory.org.pl>
Reply-To: j...@t...debica.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Complaints-To: U...@n...vogel.pl
NNTP-Posting-Date: 18 Jan 2002 08:09:00 GMT
User-Agent: slrn/0.9.7.0 (Linux)
NNTP-Posting-Host: canin.tel.debica.pl
X-Original-NNTP-Posting-Host: canin.tel.debica.pl
X-Trace: news.vogel.pl 1011342008 canin.tel.debica.pl (18 Jan 2002 09:20:08 +0100)
X-Complaints-To: U...@n...vogel.pl
Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!news.icm.edu.pl!news.onet.pl!newsfee
d.tpinternet.pl!news.vogel.pl!nnrp
Xref: news-archive.icm.edu.pl pl.biznes.banki:155956
[ ukryj nagłówki ]
Dnia czw, 17 sty 2002 at 19:52 GMT,
Tomasz Ostrowski <t...@s...mimuw.edu.pl> napisał(a):
> Włamywacz może wysłać do użytkownika przelew z odpowiednio
> spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
> operacji z tym przelewem, jego przeglądarka wykona skrypt
> przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
> danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
> jakiś program je odczyta i połączy się z serwerem mBanku udając
> przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
> kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
> zdefiniowane przelewy.

Niekoniecznie

1-to że przeglądarka to umożliwia nie znaczy że serwer to przyjmie
(weryfikacja jest na poziomie przeglądarki i na poziomie serwera)
trzeba by po prostu zdefiniować taki przelew mbank<->mbank
2-to że mbank w swoich wewnetrznych transakcjach to umożliwia to nie
znaczy że przejdzie taki numer eliksirem

Ale nie zmienia to faktu że tak być nie powinno.

--
------------------------------
Jurek