r   e   k   l   a   m   a
r   e   k   l   a   m   a

Luki w mBanku

Strona główna Aktualności

Na początku były próby przechwycenia haseł dostępu do kont bankowych oraz numerów kart płatniczych klientów polskiej filii Citibanku. Następnie doszło do próby wyłudzenia pieniędzy z internetowych kont bankowych banku Inteligo. Tym razem mamy poważne luki w mBanku.

Osoby posiadające konto w mBanku mogą bez problemu poprzez odpowiednią manipulację zmiennych poszerzyć swoje prawa użytkownika, co daje dostęp do niedostępnych z założenia sekcji panelu, takich jak zmiana limitów dla kart kredytowych, transakcji bezgotówkowych itp. Problem polega w głównej mierze w samej metodzie przesyłania informacji poprzez formularze gdzie wysyłana jest duża ilość informacji m.in.: każdorazowo imię, nazwisko, numer karty. Kolejny problem dotyczy błędu SQL injection, który występuje na forum mBanku. Zmienne (np. w "Szukaj") przekazywane były bezpośrednio do zapytań bez dodania "slashy".

Co ciekawsze, odkrywca błędu, którym jest Michał Słowik, przekazał te informacje do mBanku - omówił istotę błędu oraz metody jakimi można usterkę wyeliminować. Niestety informatyk mBanku po wysłuchaniu stwierdził, że informacje, jakie zostały przekazane nie są dziurą a niedociągnięciem. Przyznał racje, że przykładowy panel zmiany limitów nie powinien być dostępny dla użytkowników (zresztą jest nie ukończony) ale nie można dzięki niemu nic wykraść więc nie jest to dziurą. W momencie opisania artykułu, błąd SQL Injection na stronach mBanku został poprawiony niestety problem, jaki istnieje w panelu nadal jest aktywny.

Więcej informacji na ten temat znajduje się na stronie Michała Słowika (autora odkrycia błędu).

r   e   k   l   a   m   a
© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.