Websecurity - Веб безпека

У січні, 06.01.2012, я знайшов Information Leakage уразливості в БНК Клієнт-банк - це система інтернет-банкінгу від АКБ “Національний кредит”. Про що найближчим часом повідомлю розробникам системи.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на privatbank.ua.

Information Leakage (WASC-13):

При генерації секретного ключа мають місце наступні уразливості:

По замовчуванню створюється файл з іменем ПІБ користувача та розширенням key. Що полегшує пошук ключа при доступі до комп’ютера користувача чи носія даних, де він зберігається.

Прізвище_Ім’я_Побатькові.key

1. Розширення .key (типово для ключів систем клієнт-банк). Можна змінити.
2. В імені файлу ключа вказано ПІБ. Можна змінити.
3. В тексті файлу ключа вказано ПІБ. Не можна змінити.

Це гірше ніж в системах клієнт-банка Аваля та інших систем на основі Ibank від БИФИТ та систем інших банків, з якими мені доводилося стикатися.

This entry was posted on 23:59 07.05.2014 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.