Únor: Měsíc finančních institucí

BugTrack

Únor: Měsíc finančních institucí#
Po vzoru července a října, což byly měsíce, které jsme věnovali školám a politice, jsme se tentokrát rozhodli upřít svou pozornost na finanční instituce, tj. banky, spořitelny, záložny, lichváře, apd.

U těchto institucí se předpokládá snad až paranoidní přístup, co se zabezpečení týká. Vždyť i drobné XSS zde může být velikým problémem snadno zneužitelným například k phishingu. Jaká je ale skutečnost? Jaké jsou vaše zkušenosti?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.2.2014 8:17
re: Únor: Měsíc finančních institucí#
Pred nasazenim noveho RS fungovalo u Cofidisu
[link]


----------
I přestože jsem paranoidní neznamená, že mě nedostanou...
(odpovědět)
hodza | E-mail | Website3.2.2014 16:12
re: Únor: Měsíc finančních institucí#
hodza: Tak to je hodně pěkný :)
Já začnu zlehka tradiční chybkou: XSS ve vyhledávání (Equabank) [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.2.2014 18:36
re: Únor: Měsíc finančních institucí#
Stejný vlastník stejné SQLi:

[link]
[link]
[link]

SQLi:
[link]

(odpovědět)
Hnz2 | 185.17.93.*3.2.2014 18:40
re: Únor: Měsíc finančních institucí#
prvni dva neslapou.. zbytek dobry :)

----------
hack or be hacked :-) .. by greyhats
(odpovědět)
c0d3r3.2.2014 20:39
re: Únor: Měsíc finančních institucí#
chybička se vloudila, jinak ty weby jsou prolezlé SQLi, třeba:
[link]
[link]

(odpovědět)
Hnz2 | 85.71.231.*3.2.2014 21:11
re: Únor: Měsíc finančních institucí#
SQL injekce na Wüstenrot [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP4.2.2014 8:06
re: Únor: Měsíc finančních institucí#
Raiffeisen stavební spořitelna - File include
[link]

----------
I přestože jsem paranoidní neznamená, že mě nedostanou...
(odpovědět)
hodza | E-mail | Website4.2.2014 21:44
re: Únor: Měsíc finančních institucí#
Myslíš ten neošetřený download, nebo je tam fakt někde ještě LFI? To je teda fakt síla! :)

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP4.2.2014 22:16
re: Únor: Měsíc finančních institucí#
Myslel jsem ten download. Je pravdou, ze je to spise path traversal nez LFI.

----------
I přestože jsem paranoidní neznamená, že mě nedostanou...
(odpovědět)
hodza | E-mail | Website5.2.2014 8:36
re: Únor: Měsíc finančních institucí#
Ted koukam do mailboxu a 22.6.2009 jsem psal na actum.cz, o chybach v jejich CMS Perseus. Dodnes nemam zadnou odpoved, ale alespon si to opravili. Drive bylo mozne:
[link]
a
[link]

----------
I přestože jsem paranoidní neznamená, že mě nedostanou...
(odpovědět)
hodza | E-mail | Website5.2.2014 9:15
re: Únor: Měsíc finančních institucí#
Opět jedno XSS ve vyhledávání, tentokrát na Zuno [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP5.2.2014 8:09
re: Únor: Měsíc finančních institucí#
Zajímavý přístup k ošetřování vstupů u AirBank - [link]
(odpovědět)
ScheRas | E-mail | Website5.2.2014 19:16
re: Únor: Měsíc finančních institucí#
co je na tom zajimavyho? Jinak koukam ze to ma pod palcem Lundegaard .. kdo se tam dostane ma u me pivko :D co vim tak to jsou bezpecnostni silenci :D

----------
hack or be hacked :-) .. by greyhats
(odpovědět)
c0d3r5.2.2014 21:01
re: Únor: Měsíc finančních institucí#
Co je na tom zajimavyho? Pri nejakem nepohodlnem znaku vyhodit 403ku mi neprijde jako bezny osetrovani vstupu.
(odpovědět)
ScheRas | E-mail | Website5.2.2014 21:56
re: Únor: Měsíc finančních institucí#
Minimálně XSS tam mají www.airbank.cz/cs/404/?int=XSS

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP5.2.2014 22:14
re: Únor: Měsíc finančních institucí#
Zdroj: [link]

Nevim, jestli o tom vite nebo ne, ale spoustu veci to uz napovida, jak kvalitne na tom bude tahle stranka s bezpecnosti. :)
(odpovědět)
Luko | 178.255.168.*5.2.2014 23:37
re: Únor: Měsíc finančních institucí#
Erbank si s XSS také hlavu neláme [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP6.2.2014 9:19
re: Únor: Měsíc finančních institucí#
Ani LBBW Vank CZ se XSSku nevyhnula [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP7.2.2014 7:44
re: Únor: Měsíc finančních institucí#
Blind SQLi na stránkách ČSOB [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP10.2.2014 8:02
re: Únor: Měsíc finančních institucí#
ING si nedělá moc těžkou hlavu z flashových animací: [link]
Neuvědomuje si ovšem, že mnoho z těchto uložených SWF souborů umožňuje vyvolat na její doméně XSS.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP11.2.2014 8:07
re: Únor: Měsíc finančních institucí#
Co pouzivas na testovani tech swf, zda jsou zranitelne na XSS? Testujes to pouze rucne? Existuje i nejaky automatizovany nastroj?
(odpovědět)
---+--- | 213.192.25.*16.2.2014 16:58
re: Únor: Měsíc finančních institucí#
Kromě ručního testování můžeš použít například nástroj SWFSCAN od společnosti HP. Bohužel neumí pracovat s novějšími verzemi Action Scriptu.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP16.2.2014 17:09
re: Únor: Měsíc finančních institucí#
XSS:
[link]
(odpovědět)
kuleriks12.2.2014 0:59
re: Únor: Měsíc finančních institucí#
LBBW Bank - XSS
[link]
(odpovědět)
kuleriks12.2.2014 6:44
re: Únor: Měsíc finančních institucí#
Také ČSOB si na web umisťuje FLASHové soubory se schopností spustit XSS: [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP12.2.2014 8:01
re: Únor: Měsíc finančních institucí#
Problém s XSS via Flash bude mít zřejmě většina bank. Ani Unicredit nezůstává pozadu: [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP13.2.2014 8:04
re: Únor: Měsíc finančních institucí#
I pro dnešek zůstaneme u Flashe, pouze pozměníme banku za VR-Bank: [link] a zranitelnost za Content Spoofing

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP14.2.2014 8:05
re: Únor: Měsíc finančních institucí#
Jakym zpusobem tam prostrednictvim toho parametru xmlfile spustis javascript?
(odpovědět)
Mixlik | 147.229.176.*17.2.2014 13:09
re: Únor: Měsíc finančních institucí#
Je pravda, že jsem to zrovna v tomto případě příliš neprověřoval, zdá náhodou nejde o false positive. Kouknu na to v příštím týdnu a dám vědět.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP17.2.2014 23:57
re: Únor: Měsíc finančních institucí#
Tak co? Je to to false positive?
(odpovědět)
Mixlik | 147.229.176.*28.2.2014 14:16
re: Únor: Měsíc finančních institucí#
Ano, šlo o false positive. Ve skutečnosti jde jen o Content Spoofing. Pro jistotu jsem upravil svůj původní post, aby to někoho nemátlo. Díky.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP28.2.2014 15:11
re: Únor: Měsíc finančních institucí#
Česká spořitelna se XSSku bohužel také nevyhnula: [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP19.2.2014 21:30
re: Únor: Měsíc finančních institucí#
KB vystavuje na své doméně krásnou stránku [link] a nejde jen o zobrazené informace, ale třeba i o neošetřenou reflexi hodnot (XSS).

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP1.9.2016 21:17

Zpět
 
 
 

 
BBCode