Luki w mBanku

Strona głównaLuki w mBanku
26.02.2004 14:13

Na początku były próby przechwycenia haseł dostępu do kontbankowych oraz numerów kart płatniczych klientów polskiej filiiCitibanku. Następnie doszło do próby wyłudzenia pieniędzy zinternetowych kont bankowych banku Inteligo. Tym razem mamy poważneluki w mBanku. Osoby posiadające konto w mBanku mogą bez problemu poprzezodpowiednią manipulację zmiennych poszerzyć swoje prawaużytkownika, co daje dostęp do niedostępnych z założenia sekcjipanelu, takich jak zmiana limitów dla kart kredytowych, transakcjibezgotówkowych itp. Problem polega w głównej mierze w samejmetodzie przesyłania informacji poprzez formularze gdzie wysyłanajest duża ilość informacji m.in.: każdorazowo imię, nazwisko, numerkarty. Kolejny problem dotyczy błędu SQL injection, który występujena forum mBanku. Zmienne (np. w "Szukaj") przekazywane byłybezpośrednio do zapytań bez dodania "slashy". Co ciekawsze, odkrywca błędu, którym jest Michał Słowik, przekazałte informacje do mBanku - omówił istotę błędu oraz metody jakimimożna usterkę wyeliminować. Niestety informatyk mBanku powysłuchaniu stwierdził, że informacje, jakie zostały przekazane niesą dziurą a niedociągnięciem. Przyznał racje, że przykładowy panelzmiany limitów nie powinien być dostępny dla użytkowników (zresztąjest nie ukończony) ale nie można dzięki niemu nic wykraść więc niejest to dziurą. W momencie opisania artykułu, błąd SQL Injection nastronach mBanku został poprawiony niestety problem, jaki istnieje wpanelu nadal jest aktywny. Więcej informacji na ten temat znajduje się na stronie MichałaSłowika (autora odkrycia błędu).

bDUFNlQl
Udostępnij:
bDUFNlRj