| Únor: Měsíc finančních institucí | # |
| Po vzoru července a října, což byly měsíce, které jsme věnovali školám a politice, jsme se tentokrát rozhodli upřít svou pozornost na finanční instituce, tj. banky, spořitelny, záložny, lichváře, apd.
U těchto institucí se předpokládá snad až paranoidní přístup, co se zabezpečení týká. Vždyť i drobné XSS zde může být velikým problémem snadno zneužitelným například k phishingu. Jaká je ale skutečnost? Jaké jsou vaše zkušenosti?
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Pred nasazenim noveho RS fungovalo u Cofidisu
[link]
----------
I přestože jsem paranoidní neznamená, že mě nedostanou...
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| hodza: Tak to je hodně pěkný :)
Já začnu zlehka tradiční chybkou: XSS ve vyhledávání (Equabank) [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
|
| re: Únor: Měsíc finančních institucí | # |
| prvni dva neslapou.. zbytek dobry :)
----------
hack or be hacked :-) .. by greyhats
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| chybička se vloudila, jinak ty weby jsou prolezlé SQLi, třeba:
[link]
[link]
(odpovědět) | | Hnz2 | 85.71.231.* | 3.2.2014 21:11 |
|
|
|
| re: Únor: Měsíc finančních institucí | # |
| SQL injekce na Wüstenrot [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Raiffeisen stavební spořitelna - File include
[link]
----------
I přestože jsem paranoidní neznamená, že mě nedostanou...
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Myslíš ten neošetřený download, nebo je tam fakt někde ještě LFI? To je teda fakt síla! :)
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Myslel jsem ten download. Je pravdou, ze je to spise path traversal nez LFI.
----------
I přestože jsem paranoidní neznamená, že mě nedostanou...
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Ted koukam do mailboxu a 22.6.2009 jsem psal na actum.cz, o chybach v jejich CMS Perseus. Dodnes nemam zadnou odpoved, ale alespon si to opravili. Drive bylo mozne:
[link]
a
[link]
----------
I přestože jsem paranoidní neznamená, že mě nedostanou...
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Opět jedno XSS ve vyhledávání, tentokrát na Zuno [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Zajímavý přístup k ošetřování vstupů u AirBank - [link]
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| co je na tom zajimavyho? Jinak koukam ze to ma pod palcem Lundegaard .. kdo se tam dostane ma u me pivko :D co vim tak to jsou bezpecnostni silenci :D
----------
hack or be hacked :-) .. by greyhats
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Co je na tom zajimavyho? Pri nejakem nepohodlnem znaku vyhodit 403ku mi neprijde jako bezny osetrovani vstupu.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Minimálně XSS tam mají www.airbank.cz/cs/404/?int=XSS
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Zdroj: [link]
Nevim, jestli o tom vite nebo ne, ale spoustu veci to uz napovida, jak kvalitne na tom bude tahle stranka s bezpecnosti. :)
(odpovědět) | | Luko | 178.255.168.* | 5.2.2014 23:37 |
|
|
|
| re: Únor: Měsíc finančních institucí | # |
| Erbank si s XSS také hlavu neláme [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Ani LBBW Vank CZ se XSSku nevyhnula [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Blind SQLi na stránkách ČSOB [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| ING si nedělá moc těžkou hlavu z flashových animací: [link]
Neuvědomuje si ovšem, že mnoho z těchto uložených SWF souborů umožňuje vyvolat na její doméně XSS.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Co pouzivas na testovani tech swf, zda jsou zranitelne na XSS? Testujes to pouze rucne? Existuje i nejaky automatizovany nastroj?
(odpovědět) | | ---+--- | 213.192.25.* | 16.2.2014 16:58 |
|
|
|
| re: Únor: Měsíc finančních institucí | # |
| Kromě ručního testování můžeš použít například nástroj SWFSCAN od společnosti HP. Bohužel neumí pracovat s novějšími verzemi Action Scriptu.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
|
|
| re: Únor: Měsíc finančních institucí | # |
| Také ČSOB si na web umisťuje FLASHové soubory se schopností spustit XSS: [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Problém s XSS via Flash bude mít zřejmě většina bank. Ani Unicredit nezůstává pozadu: [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| I pro dnešek zůstaneme u Flashe, pouze pozměníme banku za VR-Bank: [link] a zranitelnost za Content Spoofing
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Jakym zpusobem tam prostrednictvim toho parametru xmlfile spustis javascript?
(odpovědět) | | Mixlik | 147.229.176.* | 17.2.2014 13:09 |
|
|
|
| re: Únor: Měsíc finančních institucí | # |
| Je pravda, že jsem to zrovna v tomto případě příliš neprověřoval, zdá náhodou nejde o false positive. Kouknu na to v příštím týdnu a dám vědět.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Tak co? Je to to false positive?
(odpovědět) | | Mixlik | 147.229.176.* | 28.2.2014 14:16 |
|
|
|
| re: Únor: Měsíc finančních institucí | # |
| Ano, šlo o false positive. Ve skutečnosti jde jen o Content Spoofing. Pro jistotu jsem upravil svůj původní post, aby to někoho nemátlo. Díky.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| Česká spořitelna se XSSku bohužel také nevyhnula: [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Únor: Měsíc finančních institucí | # |
| KB vystavuje na své doméně krásnou stránku [link] a nejde jen o zobrazené informace, ale třeba i o neošetřenou reflexi hodnot (XSS).
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
