BF та XSS уразливості в IFOBS

23:54 18.09.2012

31.05.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Brute Force та Cross-Site Scripting. Це друга порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IFOBS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.09.2012

Це наступні 36 уразливостей в IFOBS: 2 BF та 34 XSS.

Brute Force (WASC-11):

В формі логіна консолі сертифікатів (http://site/ifobsClient/certmasterlogin.jsp) відсутній захист від підбору пароля (капча).

В формах перевірки статусу реєстрації та редагування реєстраційного профіля відсутній захист від підбору пароля (капча). Обидві форми розміщені на сторінці http://site/ifobsClient/regclientmain.jsp (їх ще можна викликати за адресами http://site/ifobsClient/regclientmain.jsp?myaction=getloginformForStatus і http://site/ifobsClient/regclientmain.jsp?myaction=getloginformForEdit) і вони використовують один і той же скрипт.

Cross-Site Scripting (WASC-08):

POST запит на сторінці http://site/ifobsClient/regclientmain.jsp параметрах: furtherAction, secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, passportSerial, passportNumber, PassportDay, PassportMonth, PassportYear, passportIssueAgency, tempDocSerial, tempDocNumber, DocDay, DocMonth, DocYear, idCodeNumber, CodeRegDay, CodeRegMonth, CodeRegYear, idCodeRegPlace, phone, email, pmcountry, pmnumber, keyword, password, bankAddress, bankContacts, typeclient.

Експлоіти для перших п’яти уразливостей (в параметрах furtherAction, secondName, firstName, thirdName, BirthDay):

IFOBS XSS-6.html

IFOBS XSS-7.html

IFOBS XSS-8.html

IFOBS XSS-9.html

IFOBS XSS-10.html

Розробники системи проігнорували і не виправили дані уразливості.


Leave a Reply

You must be logged in to post a comment.