CSRF та XSS уразливості в IFOBS

17:11 21.09.2012

01.06.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Cross-Site Request Forgery та Cross-Site Scripting. Це третя порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IFOBS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.09.2012

Це наступні 35 уразливостей в IFOBS: 1 CSRF та 34 XSS.

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force в формі логіна (http://site/ifobsClient/loginlite.jsp), згадану раніше, також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак.

Cross-Site Scripting (WASC-08):

http://site/ifobsClient/regclientalerts.jsp?labelname=%3Cscript%3Ealert(document.cookie)%3C/script%3E

POST запит на сторінці http://site/ifobsClient/regclientform.jsp параметрах: secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, passportSerialpassportNumber, PassportDay, PassportMonth, PassportYear, passportIssueAgency, tempDocSerialtempDocNumber, tempDocSerial, DocMonth, DocYear, idCodeNumber, CodeRegDay, CodeRegMonth, CodeRegYear, idCodeRegPlace, phone, email, pmcountry, pmnumber, keyword, password, bankAddress, bankContacts, typeclient.

Експлоіти для перших п’яти уразливостей (в параметрах secondName, firstName, thirdName, BirthDay, BirthMonth):

IFOBS XSS-11.html

IFOBS XSS-12.html

IFOBS XSS-13.html

IFOBS XSS-14.html

IFOBS XSS-15.html

Розробники системи проігнорували і не виправили дані уразливості.


Leave a Reply

You must be logged in to post a comment.