CSRF та XSS уразливості в IFOBS
17:11 21.09.201201.06.2012
У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Cross-Site Request Forgery та Cross-Site Scripting. Це третя порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.
Раніше я вже писав про уразливості в IFOBS.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.
21.09.2012
Це наступні 35 уразливостей в IFOBS: 1 CSRF та 34 XSS.
Cross-Site Request Forgery (WASC-09):
Відсутність захисту від Brute Force в формі логіна (http://site/ifobsClient/loginlite.jsp), згадану раніше, також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак.
Cross-Site Scripting (WASC-08):
http://site/ifobsClient/regclientalerts.jsp?labelname=%3Cscript%3Ealert(document.cookie)%3C/script%3E
POST запит на сторінці http://site/ifobsClient/regclientform.jsp параметрах: secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, passportSerialpassportNumber, PassportDay, PassportMonth, PassportYear, passportIssueAgency, tempDocSerialtempDocNumber, tempDocSerial, DocMonth, DocYear, idCodeNumber, CodeRegDay, CodeRegMonth, CodeRegYear, idCodeRegPlace, phone, email, pmcountry, pmnumber, keyword, password, bankAddress, bankContacts, typeclient.
Експлоіти для перших п’яти уразливостей (в параметрах secondName, firstName, thirdName, BirthDay, BirthMonth):
Розробники системи проігнорували і не виправили дані уразливості.