Уразливості в БНК Клієнт-банк
23:59 07.05.2014У січні, 06.01.2012, я знайшов Information Leakage уразливості в БНК Клієнт-банк - це система інтернет-банкінгу від АКБ “Національний кредит”. Про що найближчим часом повідомлю розробникам системи.
Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на privatbank.ua.
Information Leakage (WASC-13):
При генерації секретного ключа мають місце наступні уразливості:
По замовчуванню створюється файл з іменем ПІБ користувача та розширенням key. Що полегшує пошук ключа при доступі до комп’ютера користувача чи носія даних, де він зберігається.
Прізвище_Ім’я_Побатькові.key
1. Розширення .key (типово для ключів систем клієнт-банк). Можна змінити.
2. В імені файлу ключа вказано ПІБ. Можна змінити.
3. В тексті файлу ключа вказано ПІБ. Не можна змінити.
Це гірше ніж в системах клієнт-банка Аваля та інших систем на основі Ibank від БИФИТ та систем інших банків, з якими мені доводилося стикатися.