На просторах великой страны нас встречает могильный покой


Previous Entry Поделиться Next Entry
ИТ: О безопасности клиентского Интернет-банкинга
seerozha
Сегодня - на примере "Альфа-Банка".

"
Для отслеживания трафика, передаваемого мобильным приложением на сервер устанавливаем Fiddler.

Программа предельно проста в использовании, устанавливается и настраивается по инструкции довольно легко. Дополнительно в настройках программы нужно включить декриптование https трафика
В телефоне в настройках wi-fi нужно указать адрес прокси, поднимаемый этим приложением и для того, чтобы программа могла расшифровывать мобильный HTTPS трафик, нам нужно дополнительно установить сертификат (IOS, Android).

После всех этих действий запускаем Fiddler и мобильное приложение Альфа-Банк. Теперь все запросы, отправляемые мобильным телефоном, будут отображаться в Fiddler. В нашем случае это оказался SOAP протокол с запросами в формате XML.

...

Я искал типичные ошибки, которые допускают разработчики. Самая распространенная из них — это отсутствие проверки прав доступа при запросе с использованием идентификатора. Поиск ошибок производим следующим образом. Берем запрос мобильного приложения, залогированный Fiddler и воспроизводим его в браузере Google Chrome при помощи плагина «Postman».

...

В этом запросе заменяем целочисленный идентификатор на большее или меньшее значение и проверяем ответ сервера. Если сервер вернет ошибку или пустой запрос — то все хорошо, если данные клиента, значит есть уязвимость. Долго искать не пришлось. При запросе на формирование выписки, отсутствовала проверка на права доступа. Для доступа к данным использовался такой идентификатор, как cardContractId. Увеличивая или уменьшая его значение, можно было получать выписки других пользователей.
"

Подробнее и с картинками - здесь.
Метки: , ,

  • 1
Просто праздник какой-то

Просмотр баланса "соседа" - это так, мелочи.

  • 1
?

Log in

No account? Create an account