BF та XSS уразливості в IFOBS
23:54 18.09.201231.05.2012
У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Brute Force та Cross-Site Scripting. Це друга порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.
Раніше я вже писав про уразливості в IFOBS.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.
18.09.2012
Це наступні 36 уразливостей в IFOBS: 2 BF та 34 XSS.
Brute Force (WASC-11):
В формі логіна консолі сертифікатів (http://site/ifobsClient/certmasterlogin.jsp) відсутній захист від підбору пароля (капча).
В формах перевірки статусу реєстрації та редагування реєстраційного профіля відсутній захист від підбору пароля (капча). Обидві форми розміщені на сторінці http://site/ifobsClient/regclientmain.jsp (їх ще можна викликати за адресами http://site/ifobsClient/regclientmain.jsp?myaction=getloginformForStatus і http://site/ifobsClient/regclientmain.jsp?myaction=getloginformForEdit) і вони використовують один і той же скрипт.
Cross-Site Scripting (WASC-08):
POST запит на сторінці http://site/ifobsClient/regclientmain.jsp параметрах: furtherAction, secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, passportSerial, passportNumber, PassportDay, PassportMonth, PassportYear, passportIssueAgency, tempDocSerial, tempDocNumber, DocDay, DocMonth, DocYear, idCodeNumber, CodeRegDay, CodeRegMonth, CodeRegYear, idCodeRegPlace, phone, email, pmcountry, pmnumber, keyword, password, bankAddress, bankContacts, typeclient.
Експлоіти для перших п’яти уразливостей (в параметрах furtherAction, secondName, firstName, thirdName, BirthDay):
Розробники системи проігнорували і не виправили дані уразливості.