Уразливості в LiqPAY

23:54 18.12.2010

Стосовно ПриватБанка раніше я вже неоднаразово писав про уразливості на www.privatbank.ua та інших сайтах даного банка. Враховуючи, що на протязі 2008-2010 років, як я повідомляв ПБ про дірки на його сайтах, даний банк вів себе несерйозно, ігноруючи мої листи, невиправляючи дірки, а іноді втихаря виправляючи деякі дірки, при цьому жодного разу мені не подякувавши, і з року в рік продовжуючи не слідкувати за безпекою своїх сайтів, тому дані дірки в LiqPAY я оприлюднюю одразу (full disclosure). Від того, чи змінить свою несерйозну поведінку ПБ залежить те, як я оприлюдню наступні дірки в LiqPAY (зокрема дірки, які дозволяють викрадати кошти з рахунків користувачів системи).

У листопаді, 14.11.2009, я знайшов Insufficient Anti-automation уразливість, а 10.09.2010 ще Insufficient Session Expiration уразливість на сайті https://www.liqpay.com. Про що найближчим часом сповіщу адміністрацію сайта.

Insufficient Anti-automation:

На сторінці https://www.liqpay.com/?do=myliqpay немає захисту від автоматизованих запитів (капчі). Що може призвести до наступних сценаріїв атак:

  • Спам користувачам мобільних телефонів смс-ками від LiqPAY.
  • Перенавантаження смс-шлюзу, що може на деякий час заблокувати доступ до системи її користувачам.
  • Проведення фішинг атак, про які я розповідав раніше. Приклад фішинг атаки, що розробив Андрій для демонстрації, коли нападники ініціюють висилання смс-повідомлення жертві, можливий саме через дану уразливість. Тобто можливі автоматизовані фішінг-атаки.

Insufficient Session Expiration:

В системі використовується коротка сесія - на сесію діє обмеження в 10 хвилин, після чого знову потрібно авторизуватися. Що може бути незручним в користуванні, зате добре в плані безпеки. Але починаючи з вересня в системі використовуєть ще одна сесія.

Як я виявив 10.09.2010 в LiqPAY почали використовувати довгу сесію. Перевірка показала, що сесія працює більше двох діб (але менше трьох діб). При цьому нова сесія працює лише для перегляду акаунта, але не для транзакцій.

Це може бути використано для доступу до акаунту користувача для читання інформації про рахунки - через XSS чи при доступі до комп’ютера жертви (тобто це призведе до витоку інформації).


Leave a Reply

You must be logged in to post a comment.